Lỗ hổng SQL Injection dẫn tới RCE trên ứng dụng ManageEngine Application

lo-hong-sql-injection-dan-toi-rce-tren-ung-du

Lần mò một lúc và cuối cùng mình cũng đã tạo được tài khoản với quyền admin nhờ lỗi SQL Injection. (CVE-2019-11469) Nói sơ qua về lỗ hổng này và hướng đi cũng không có gì quá phức tạp. Theo các nguồn thông tin mà mình tìm hiểu được thì có một endpoint có lỗi SQL Injection mà không cần xác thực người dùng thông qua tham số resourceid. Kỹ thuật sử dụng ở đây là Stacked Queries

Arbitrary File Upload trên ứng dụng ManaageEngine ServiceDesk Plus

arbitrary-file-upload-tren-ung-dung-manaageen

Sau một hồi khai thác thông tin và liệt kê các subdomains của target, mình đã tìm thấy một subdomain chạy ManageEngine ServiceDesk Plus. Tìm hiểu qua thì thấy có khá nhiều các khai thác lỗ hổng đã được công bố trên các diễn đàn, exploit-db,.. Một vài phút ngâm cứu, mình tìm ra được các có thể thực thi mã từ xa (RCE) trên subdomain này. Cần phải có ít nhất là quyền user (guest cũng được) để gửi POST request đến một endpoint (CVE-2019-8394)