ManageEngine ADManager +建立7111多个漏洞

站得住脚的发现在7111年ADMP构建多个漏洞。

1)PasswordExpiryNotification Post-Authentication文件上传远端控制设备(cve - 2021 - 20130)
CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H

经过身份验证的远程攻击者可以发送一个POST消息/ RestAPI / WC / PasswordExpiryNotification JSP文件上传到< ADMP_DIR > \ webapps \ adsm \ ompemberapp \ PasswordExpiryNotification \远程ADMP主机上。文件的形式创建< unixtime_milliseconds > _ <文件名>、< unixtime_miliseconds >是文件创建时间在毫秒Unix纪元以来,和<文件名>是HTTP中指定文件名上传信息。

攻击者可以通过抓取JSP文件执行JSP代码在URL / ompemberapp / PasswordExpiryNotification / < unixtime_miliseconds > _ <文件名>(即。,1630429499081 _webshell.jsp)。

JSP代码可以创建一个管理Windows用户在ADMP主机上。一旦有管理访问ADMP主机,攻击者可以获得域凭据用于添加Windows域ADMP web UI。该域账户(即往往有很高的特权。域管理员)是用来执行活动目录操作,如创建用户帐户和重置用户密码。

攻击者可以获得域名的凭证的一种方法是将调试器附加到ADMP Java进程和打入ACTIVEDS.dll ADsOpenObject函数:

ADsOpenObject(路径:“LDAP: / / kbrdc02.l2k8.local: 389 / DC = l2k8, DC =当地',用户名:l2k8.local \管理员,密码:<编辑>,…)

2)个性化Post-Authentication文件上传远端控制设备(cve - 2021 - 20131)
CVSS: 3.1 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:H: H

经过身份验证的远程攻击者可以发送一个POST消息/ RestAPI / WC /个性化上传恶意可执行< ADMP_DIR > \ bin \在远程ADMP主机和替换现有的admanager。exe文件attacker-controlled数据。当ADMP重启,< ADMP_DIR > \ bin \ admanager。exe执行attacker-controlled代码。

与前面的脆弱性,attacker-controlled代码可以ADMP主机上创建一个管理Windows用户,攻击者可以获得高权限的域账户的凭证(即。域管理员)。