.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00 前言本文記錄從零開始搭建ADManager Plus漏洞調試環境的細節,介紹數據庫用戶口令的獲取方法。
0x01 簡介本文將要介紹以下內容:
ADManager Plus安裝
ADManager Plus漏洞調試環境配置
數據庫用戶口令獲取
數據庫加密算法
0x02 ADManager Plus安裝1.下載全版本下載地址:https://archives2.manageengine.com/ad-manager/
2.安裝安裝參考:https://www.manageengine.com/products/ad-manager/help/getting_started/installing_admanager_plus.html
3.測試訪問https://localhost:8080
0x03 ADManager Plus漏洞調試環境配置方法同ADAudit Plus漏洞調試環境配置基本類似
1.開啟調試功能(1)定位配置文件
查看java進程的父進程wrapper.exe的進程參數為:'C:\Program Files\ManageEngine\ADManager Plus\bin\Wrapper.exe' -c 'C:\Program Files\ManageEngine\ADManager Plus\bin\\.\conf\wrapper.conf'
這裡需要修改的配置文件為C:\Program Files\ManageEngine\ADManager Plus\conf\wrapper.conf
(2)修改配置文件添加調試參數
找到啟用調試功能的位置:
將其修改為
(3)重新啟動相關進程
關閉進程wrapper.exe和對應的子進程java.exe
在開始菜單依次選擇Stop ADManager Plus和Start ADManager Plus
2.常用jar包位置路徑:C:\Program Files\ManageEngine\ADManager Plus\lib
web功能的實現文件為AdventNetADSMServer.jar和AdventNetADSMClient.jar
3.IDEA設置設置為Remote JVM Debug,遠程調試
0x04 數據庫用戶口令獲取默認配置下,ADManager Plus使用postgresql存儲數據,默認配置了兩個登錄用戶:admanager和postgres
1.用戶admanager的口令獲取配置文件路徑:C:\Program Files\ManageEngine\ADManager Plus\conf\database_params.conf,內容示例:
其中,password被加密,加解密算法位於:C:\Program Files\ManageEngine\ADManager Plus\lib\framework-tools.jar中的com.zoho.framework.utils.crypto-CryptoUtil.class
經過代碼分析,得出以下解密方法:
密鑰固定保存在C:\Program Files\ManageEngine\ADManager Plus\conf\customer-config.xml,內容示例:
得到密鑰:CryptTag為o0hV5KhXBIKRH2PAmnCx
根據以上得到的密文28e3e4d73561031fa3a0100ea4bfb3617c7d66b631ff54ca719dd4ca3dcfb3c308605888和密鑰o0hV5KhXBIKRH2PAmnCx,編寫解密程序,代碼如下:
程序運行後得到解密結果:DFVpXge0NS
拼接出數據庫的連接命令:'C:\Program Files\ManageEngine\ADManager Plus\pgsql\bin\psql' 'host=127.0.0.1 port=33306 dbname=adsm user=admanager password=DFVpXge0NS'
2.用戶postgres的口令默認口令為Stonebraker
0x05 數據庫加密算法1.相關數據庫信息(1)用戶相關的表
(2)口令相關的表
(3)權限相關的表
2.口令加密算法算法同ADAudit Plus一致,計算密文的測試代碼如下:
計算結果為$2a$12$sdX7S5c11.9vZqC0OOPZQ.9PLFBKubufTqUNyLbom2Ub13d573jhi,同數據庫得到的password項一致
3.語法示例(1)查詢用戶及對應的權限
(2)查詢用戶及對應的口令
(3)修改口令
0x06 小結在我們搭建好ADManager Plus漏洞調試環境後,接下來就可以著手對漏洞進行學習。