3gstudent 嘶吼专业版
0x00 前言
Zimbra邮件服务器的管理面板支持文件上传的功能,通常情况下,我们通过管理员用户登录管理面板,使用名为Client Upload的功能即可将文件上传至Zimbra邮件服务器的downloads目录。
这里面我们需要进一步的思考,实现文件上传的方法有哪些?如何禁用文件上传的功能?能否通过第三方扩展或者插件实现文件上传?能否绕过?
本文仅在技术研究的角度回答以上问题。
0x01 简介
本文将要介绍以下内容:
· 原理分析
· 通过zimbraAdmin管理面板实现文件上传
· 通过zimlet实现文件上传
· 通过Zimbra SOAP API实现文件上传
· 利用思路
· 防御建议
0x02 原理分析
Zimbra邮件服务器通过com_zimbra_clientuploader实现文件上传的功能。
我们可以在Zimbra邮件服务器的安装文件中找到文件上传功能对应的文件。
对应安装目录下的文件为/opt/zimbra/lib/ext/com_zimbra_clientuploader/com_zimbra_clientuploader.jar
为了查看具体的实现代码,这里需要对jar文件进行反编译。
反编译的功能可以使用JD-GUI,地址:http://java-decompiler.github.io/
使用JD-GUI打开com_zimbra_clientuploader.jar,文件结构如下图:
(1)文件上传功能的主函数
对应文件ClientUploaderHandler.class
(2)文件上传功能的写入位置
对应文件ClientUploaderLC.class,如下图:
写入位置为/opt/zimbra/jetty/webapps/zimbra/downloads
(3)响应代码对应的内容
对应文件ZClientUploaderResoCode.class,如下图:
内容如下:
SUCCEEDED(1L, "Succeeded"),
FAILED(20000000L, "Upload failed"),
NOT_A_FILE(20000001L, "The request does not upload a file"),
REPO_INVALID(20000002L, "Invalid directory for client repo or temporary files."),
REPO_NO_WRITE(20000003L, "No write permission on directory for client repo or temporary files"),
SAVE_ERROR(20000004L, "Failed to save the upload file"),
PARSE_REQUEST_ERROR(20000005L, "Failed to parse the request"),
FILE_EXCEED_LIMIT(20000006L, "File size exceeds allowed max size"),
MISSING_LIB_PATH(30000001L, "Cannot find lib directory so cannot execute zmupdatedownload"),
UPDATE_LINK_FAILED(30000002L, "Failed to update links in downloads/index.html"),
NO_PERMISSION(40000001L, "Permission denied");
可以用来判断上传失败的原因。
综合以上代码,我们可以得出以下推断:
1.com_zimbra_clientuploader作为Zimbra的一部分,保存在安装目录下,实现文件上传的功能,提供文件上传的接口。
2.通过Zimbra管理面板能够安装第三方插件,一种是扩展Zimbra管理面板的功能,对应名称为Admin Extensions,另一种是扩展客户端的功能,对应名称为Zimlets。
3.无论是Admin Extensions还是Zimlets,实现文件上传都要调用com_zimbra_clientuploader提供的文件上传接口。反过来说,只要禁用了。com_zimbra_clientuploader提供的文件上传接口,那么使用Admin Extensions和Zimlets都无法实现文件上传。
下面分别介绍三种实现文件上传的方法并验证我们的推断。
0x03 通过zimbraAdmin管理面板实现文件上传
通过管理员用户登录管理面板,选择Tools and Migration->Client Upload,如图:
上传成功后,Zimbra邮件服务器的保存路径:/opt/zimbra/jetty/webapps/zimbra/downloads
0x04 通过zimlet实现文件上传
Zimlets用来扩展客户端的功能,也就是说,当安装了Zimlets,使用普通用户登录邮箱时,就能够访问已安装的Zimlets。
如下图:
Zimlets的开发可以参考https://wiki.zimbra.com/wiki/Zimlet_Developers_Guide:Example_Zimlets。
注:
Zimlets支持运行jsp文件,但是默认关闭该功能。
查看是否开启的命令:
zmprov gs < mail domain name > | grep zimbraZimletJspEnabled
启用Zimbra执行jsp的命令:
zmprov ms < mail domain name > zimbraZimletJspEnabled TRUE
zmcontrol restart
这里举例进行说明,使用示例Zimlets Simple_JSP_via_Action,下载地址:
https://wiki.zimbra.com/wiki/ZCS_6.0:Zimlet_Developers_Guide:Examples:Simple_JSP_via_Action
通过Zimbra管理面板进行安装,如下图:
选择安装文件com_zimbra_example_simplejspaction.zip。
使用普通用户登录邮箱,在Zimlets下能够访问已安装的Zimlets,如下图:
点击后,发现jsp文件能够访问,但是无法运行,如下图:
这里我找到了一种有趣的文件上传方法:虽然无法运行jsp文件,但是可以运行html文件,那么我们何不通过html实现文件上传呢?
新建文件upload.html,内容如下:
其中,
将upload.html压缩到com_zimbra_example_simplejspaction.zip中,重新通过Zimbra管理面板进行安装。
使用普通用户登录邮箱,访问https://
如下图:
直接上传会失败,这是因为普通用户没有上传文件的权限。
这里可以通过修改Cookie的方式,实现文件上传。
添加Cookie的名称为ZM_ADMIN_AUTH_TOKEN,Cookie的数值可在登录Zimbra管理面板后的Cookie中获得。
同时要删除普通用户的Cookie,对应名称为ZM_AUTH_TOKEN。
完整的Cookie格式如下图:
上传成功后,在Zimbra邮件服务器的/opt/zimbra/jetty/webapps/zimbra/downloads下可以看到对应的文件。
为了进一步利用,我们可以尝试添加一个隐藏的zimlet,这里以名称com_zimbra_test为例。
com_zimbra_test.xml的文件内容如下:
安装后,在用户邮箱内的Zimlets中显示为空行,如下图:
0x05 通过Zimbra SOAP API实现文件上传
代码可参考:
https://github.com/3gstudent/Homework-of-Python/blob/master/Zimbra_SOAP_API_Manage.py
细节可参考之前的文章《Zimbra-SOAP-API开发指南2》。
0x06 验证推断
修改Zimbra邮件服务器/opt/zimbra/jetty/webapps/zimbra/downloads目录的用户访问权限,将Create and delete files修改为List files only
再次使用以上三种方法上传文件,均失败,返回结果如下:
20000003对应的内容为"No write permission on directory for client repo or temporary files",表示权限不够。
由此验证了之前的推论:
只要禁用了com_zimbra_clientuploader提供的文件上传接口,那么使用Admin Extensions和Zimlets都无法实现文件上传。
0x07 防御建议
禁用Zimbra邮件服务器/opt/zimbra/jetty/webapps/zimbra/downloads目录的用户写入权限。
0x08 小结
本文介绍了Zimbra邮件服务器三种实现文件上传的方法,得出结论:只要禁用了com_zimbra_clientuploader提供的文件上传接口,去除用户的写权限,使用Admin Extensions和Zimlets都无法实现文件上传。