ADSelfService Plus未授权RCE漏洞(CVE-2021-40539)利用与分析

字数统计: 1.7k字   |   阅读时长≈ 7分

睡一觉就把漏洞给分析了

题外话

故事要从一段中式英语对话开始说起,起先是看到这是个危险程度严重的新漏洞,然后疯狂在官网找相应漏洞版本的应用找不到,就更有意思了(谁知道暂时没客服回应我,可能是因为美国时间客服正在睡觉吧)

于是睡了一觉,早上看到邮件。于是就兴奋的开始了漏洞复现,顺便细心分析了一波(好心人已公开链接,不过是免费版)

步入正题

漏洞描述

ZOHO ManageEngine ADSelfService Plus是美国卓豪(ZOHO)公司的针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。

Zoho ManageEngine ADSelfService Plus 6113版本及更早版本存在授权问题漏洞,该漏洞源于软件很容易绕过REST API认证,从而导致远程代码执行。

漏洞利用与分析

应用搭建安装后的效果如下(首次及默认账号密码为admin\admin):

根据官方修复资料来看,先去 ManageEngineADSFrameworkJava.jarcom.manageengine.ads.fw.api.RestAPIUtil类看看验证绕过漏洞的修复前后

 public static boolean isRestAPIRequest(HttpServletRequest request, JSONObject  filterParams)
  {
String restApiUrlPattern = "/RestAPI/.*";
try
{
  restApiUrlPattern = filterParams.optString("API_URL_PATTERN",  restApiUrlPattern);
}
catch (Exception ex)
{
  out.log(Level.INFO, "Unable to get API_URL_PATTERN.", ex);
}
String reqURI = request.getRequestURI();
String contextPath = request.getContextPath() != null ?  request.getContextPath() : "";
reqURI = reqURI.replace(contextPath, "");
reqURI = reqURI.replace("//", "/");
return Pattern.matches(restApiUrlPattern, reqURI);
  }

修复后的reqURI将通过getNormalizedURI方法对url进行/./..的过滤和多余/的删除

根据 https://github.com/projectdiscovery/nuclei-templates/blob/77c3dc36ac7df4c04e3ff7cd97f5f63ec8dc7311/cves/2021/CVE-2021-40539.yaml 的描述,尝试发送验证是否存在身份验证绕过的漏洞。经测试url路径前以下字符均可绕过身份验证

/./
/.///
///.///
/.//.///
/../

返回包表明路径遍历请求实际上绕过了认证过程

接下来利用/./的身份验证绕过实现任意及恶意文件的上传,通过跟踪漏洞中所利用到的文件上传的接口,找到 AdventNetADSMClient.jar中的 LogonCustomization类,类中的unspecified方法( 原本unspecified是添加智能卡相关配置参数的方法)存在与文件上传相关的函数,对unspecified方法进行分析,确定了达到文件上传条件所需要的参数

试着跟进sCAction.addSmartCardConfig()看看是如何写文件的,sCAction.addSmartCardConfig() —> mapping.findForward(addSmartCardConfig() —> FileActionHandler.getFileFromRequest(),结果是直接将form下要上传的文件内容以form中filename参数命名方式直接写进了应用启动程序bin目录下,还以为会稍微有点过滤

那这边我先上传个编译后的弹计算器的class文件,以备后续使用

接着在AdventNetADSMClient.jarConnectionAction类的openSSLTool方法,可不需要过滤接受http请求下的action参数值,如果等于generateCSR即执行SSLUtil.createCSR()

跟踪SSLUtil.createCSR(),映入眼帘的是keytool这个工具的执行和执行keytool所必需的参数,这边看到keysizevalidity这两个参数值可通过http传入可控且没受任何过滤,将拼接进keyCmd的keytool命令执行语句中,最后执行runCommand(keyCmd.toString());

public class SSLUtil
{
  private static Logger logger = Logger.getLogger(SSLUtil.class.getName());
  public static void createCSR(HttpServletRequest request)
throws Exception
  {
JSONObject sslParams = new JSONObject();
sslParams.put("COMMON_NAME", request.getParameter("NAME"));
sslParams.put("SAN_NAME", request.getParameter("SAN_NAME"));
sslParams.put("OU", request.getParameter("OU"));
sslParams.put("ORGANIZATION", request.getParameter("ORGANIZATION"));
sslParams.put("LOCALITY", request.getParameter("LOCALITY"));
sslParams.put("STATE", request.getParameter("STATE"));
sslParams.put("COUNTRY_CODE", request.getParameter("COUNTRY_CODE"));
sslParams.put("PASSWORD", request.getParameter("PASSWORD"));
sslParams.put("VALIDITY", request.getParameter("VALIDITY"));
sslParams.put("KEY_LENGTH", request.getParameter("KEY_LENGTH"));
JSONObject csrStatus = createCSR(sslParams);
if (csrStatus.has("eStatus")) {
  request.setAttribute("status", customizeError(csrStatus.optString("eStatus",  null)));
} else {
  request.setAttribute("status", "success");
}
  }
  public static JSONObject createCSR(JSONObject sslSettings)
throws Exception
  {
String name = "\"" + sslSettings.optString("COMMON_NAME", null) + "\"";
String pass = sslSettings.optString("PASSWORD", null);
pass = ClientUtil.keyToolEscape(pass);
String password = "\"" + pass + "\"";
logger.log(Level.INFO, "Keystore will be created for " + name);
File keyFile = new File("..\\jre\\bin\\SelfService.keystore");
if (keyFile.exists())
{
  File bckFile = new File("..\\jre\\bin\\SelfService_" +  System.currentTimeMillis() + ".keystore");
  keyFile.renameTo(bckFile);
}
StringBuilder keyCmd = new StringBuilder("..\\jre\\bin\\keytool.exe   -J-Duser.language=en -genkey -alias tomcat -sigalg SHA256withRSA -keyalg RSA  -keypass ");
keyCmd.append(password);
keyCmd.append(" -storePass ").append(password);
String keyLength = sslSettings.optString("KEY_LENGTH", null);
if ((keyLength != null) && (!keyLength.equals(""))) {
  keyCmd.append(" -keysize ").append(keyLength);
}
String validity = sslSettings.optString("VALIDITY", null);
if ((validity != null) && (!validity.equals(""))) {
  keyCmd.append(" -validity ").append(validity);
}
String san_name = sslSettings.optString("SAN_NAME", null);
keyCmd.append(" -dName  \"CN=").append(ClientUtil.keyToolEscape(sslSettings.optString("COMMON_NAME",  null)));
keyCmd.append(", OU=  ").append(ClientUtil.keyToolEscape(sslSettings.optString("OU", null)));
keyCmd.append(",  O=").append(ClientUtil.keyToolEscape(sslSettings.optString("ORGANIZATION",  null)));
keyCmd.append(",  L=").append(ClientUtil.keyToolEscape(sslSettings.optString("LOCALITY", null)));
keyCmd.append(",  S=").append(ClientUtil.keyToolEscape(sslSettings.optString("STATE", null)));
keyCmd.append(",  C=").append(ClientUtil.keyToolEscape(sslSettings.optString("COUNTRY_CODE",  null)));
keyCmd.append("\" -keystore ..\\jre\\bin\\SelfService.keystore");
if ((san_name != null) && (!san_name.equals("")))
{
  keyCmd.append(" -ext SAN=");
  String[] san_name_arr = san_name.split(",");
  for (int i = 0; i < san_name_arr.length; i++)
  {
if (i != 0) {
  keyCmd.append(",");
}
keyCmd.append("dns:" + ClientUtil.keyToolEscape(san_name_arr[i]));
  }
}
JSONObject jStatus = new JSONObject();
String status = runCommand(keyCmd.toString());

看到runCommand(keyCmd.toString());,顾名思义毫无疑问就是直接执行命令,跟踪runCommand —> RunCmd —> super(cmd) 寻其父类 runRuntimeExec(),很明显通过Runtime.getRuntime执行了该命令

import com.adventnet.sym.adsm.common.server.util.RunCmd;

刚刚说到keysizevalidity这两个参数值可通过http传入可控且没受任何过滤,那么我们可以通过这两个参数进行keytool中有效命令的注入。该程序自带keytool,那么看看其在创建密钥时可用到的options,在可用options可以看到-providerclass-providerpath两个可选参数以执行二进制文件即上面所传入的恶意class文件

发送以下poc去执行刚刚上传恶意class文件内容的jsp文件

原先任意文件上传默认上传在bin目录下,而keytool也是在当前目录下,那么就可以通过keytool的命令注入有效参数以实现来加载任意二进制的java类即class类

总结

将以上每个漏洞利用的过程结合在一块就是通过/./绕过RestAPI的身份验证以上传任意文件到程序启动bin目录下,接着利用keytool命令的执行拼接有效参数,指向任意class类以实现任意代码的执行

修复建议


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。