ADManager Plus漏洞调试环境搭建-运维技术实践

0x01 简介

本文将要介绍以下内容：

ADManager Plus安装

ADManager Plus漏洞调试环境配置

数据库用户口令获取

数据库加密算法

0x02 ADManager Plus安装

1.下载

全版本下载地址：https://archives2.manageengine.com/ad-manager/

2.安装

安装参考：https://www.manageengine.com/products/ad-manager/help/getting_started/installing_admanager_plus.html

3.测试

访问https://localhost:8080

0x03 ADManager Plus漏洞调试环境配置

方法同ADAudit Plus漏洞调试环境配置基本类似

1.开启调试功能

(1)定位配置文件

查看java进程的洞调父进程wrapper.exe的进程参数为："C:\Program Files\ManageEngine\ADManager Plus\bin\Wrapper.exe" -c "C:\Program Files\ManageEngine\ADManager Plus\bin\\..\conf\wrapper.conf"

这里需要修改的配置文件为C:\Program Files\ManageEngine\ADManager Plus\conf\wrapper.conf

(2)修改配置文件添加调试参数

找到启用调试功能的位置：

将其修改为

(3)重新启动相关进程

关闭进程wrapper.exe和对应的子进程java.exe

在开始菜单依次选择Stop ADManager Plus和Start ADManager Plus

2.常用jar包位置

路径：C:\Program Files\ManageEngine\ADManager Plus\lib

web功能的实现文件为AdventNetADSMServer.jar和AdventNetADSMClient.jar

3.IDEA设置

设置为Remote JVM Debug ，模板下载远程调试

0x04 数据库用户口令获取

默认配置下，试环ADManager Plus使用postgresql存储数据，境搭建默认配置了两个登录用户：admanager和postgres

1.用户admanager的洞调口令获取

配置文件路径：C:\Program Files\ManageEngine\ADManager Plus\conf\database_params.conf，内容示例：

其中，试环password被加密，源码下载境搭建加解密算法位于：C:\Program Files\ManageEngine\ADManager Plus\lib\framework-tools.jar中的洞调com.zoho.framework.utils.crypto->CryptoUtil.class

经过代码分析，得出以下解密方法：

密钥固定保存在C:\Program Files\ManageEngine\ADManager Plus\conf\customer-config.xml，试环内容示例：

得到密钥：CryptTag为o0hV5KhXBIKRH2PAmnCx

根据以上得到的境搭建密文28e3e4d73561031fa3a0100ea4bfb3617c7d66b631ff54ca719dd4ca3dcfb3c308605888和密钥o0hV5KhXBIKRH2PAmnCx，编写解密程序，亿华云洞调代码如下：

程序运行后得到解密结果：DFVpXge0NS

拼接出数据库的试环连接命令："C:\Program Files\ManageEngine\ADManager Plus\pgsql\bin\psql" "host=127.0.0.1 port=33306 dbname=adsm user=admanager password=DFVpXge0NS"