CVE-2022-28219 Zoho 远程命令执行漏洞-组合Java XXE、反序列化和路径穿越漏洞实现匿名RCE

★且听安全★-点关注，不迷路！★漏洞空间站★-优质漏洞资源和小伙伴聚集地！漏洞信息Zoho ManageEngine ADAudit Plus v7060 以前版本存在认证前 XXE 、JAVA 反序列化和路径穿越漏洞，组合使用可实现匿名远程命令执行。知识点：XXE Jar 协议利用以前在做 CTF 题碰到过 Java XXE jar 协议利用的姿势，没想到在 CVE-2022-28219 漏洞分析过程中发现需要利用 Jar 协议 XXE 实现反序列化载荷上传。漏洞空间站已经总结了 Java XXE jar 协议利用的完整过程，这里不过多赘述。反序列化漏洞在 `\webapps\adap\WEB-INF\web.xml` 中找到 `CewolfSevlet` ， Servlet 名称与 Desktop Central  CVE-2020-10189 反序列化漏洞相同：`CewolfRender#doGet` 函数功能为输入 `img` 并渲染内容，其调用了 `storage.getChartImage` ：`Storage` 接口有多个实现类：重点看 `de.laures.cewolf.storage.FileStorage` 的 `getChartImage` 函数执行反序 ………………………………