禅道系统权限绕过与命令执行漏洞分析

最新推荐文章于 2024-05-03 21:40:35 发布
最新推荐文章于 2024-05-03 21:40:35 发布
阅读量1.8k 收藏 1
点赞数
文章标签: php 安全 web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C20220511/article/details/129428886
版权

漏洞概述

禅道是第一款国产的开源项目管理软件,也是国内最流行的项目管理软件。该系统在2023年初被爆出在野命令执行漏洞,官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道项目管理系统权限认证存在缺陷导致,攻击者可利用该漏洞在未授权的情况下,通过权限绕过在服务器执行任意命令。

本文以安全研究为目的,分享对该漏洞的研究和复现过程,仅供学习和参考。由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,文章作者不为此承担任何责任。

影响范围

禅道系统

影响版本

开源版

17.4以下的未知版本<=version<=18.0.beta1

旗舰版

3.4以下的未知版本<=version<=4.0.beta1

企业版

7.4以下的未知版本<=version<=8.0.beta1 8.0.beta2

复现环境

操作系统:macOS 13.1

运行环境:nginx1.5 php7.4 mysql5.7

软件版本:zentaopms-zentaopms_18.0.beta1

权限绕过-漏洞分析

权限绕过的关键点在module/common/model.php文件中checkPriv函数,此函数是检查权限的函数,验证当前登陆用户是否有访问module与method的权限。分析代码后得知在没有访问权限时会抛出异常,但是代码中并没有终止程序,只是输出权限不足的内容。具体代码如下:

1

<code><span style="padding:0px; max-width:1000%;"> <span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">public</span> function <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">checkPriv</span><span style="padding:0px; max-width:1000%;">()</span></span></span></code><code><span style="padding:0px; max-width:1000%;">{</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">try</span></span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span> = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->getModuleName();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $method = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->getMethodName();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->isFlow)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span> = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->rawModule;</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $method = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->rawMethod;</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> $beforeValidMethods = <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">array</span>(</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'user'</span> => <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">array</span>(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'deny'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'logout'</span>),</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'my'</span> => <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">array</span>(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'changepassword'</span>),</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'message'</span> => <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">array</span>(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'ajaxgetmessage'</span>),</span></code><code><span style="padding:0px; max-width:1000%;"> <br> );</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(!empty($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->user->modifyPassword) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> (!isset($beforeValidMethods[$<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span>]) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">or</span> !in_array($method, $beforeValidMethods[$<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span>]))) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">return</span> print(js::locate(helper::createLink(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'my'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'changepassword'</span>)));</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->isOpenMethod($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span>, $method)) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">return</span> <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">true</span>;</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(!$<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->loadModel(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'user'</span>)->isLogon() <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->server->php_auth_user) $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->user->identifyByPhpAuth();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(!$<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->loadModel(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'user'</span>)->isLogon() <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->cookie->za) $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->user->identifyByCookie();</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(isset($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->user))</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(in_array($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span>, $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->config->programPriv->waterfall) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->tab == <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'project'</span> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> $method != <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'browse'</span>) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">return</span> <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">true</span>;</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->user = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->session->user;</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(!commonModel::hasPriv($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span>, $method))</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span> == <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'story'</span> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> !empty($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->params[<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'storyType'</span>]) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> strpos(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">",story,requirement,"</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">",{$this->app->params['storyType']},"</span>) !== <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">false</span>) $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span> = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->params[<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'storyType'</span>];</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->deny($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span>, $method);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">else</span></span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $uri = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->getURI(<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">true</span>);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">module</span> == <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'message'</span> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">and</span> $method == <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'ajaxgetmessage'</span>)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $uri = helper::createLink(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'my'</span>);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"> <br> elseif(helper::isAjaxRequest())</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> die(json_encode(<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">array</span>(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'result'</span> => <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">false</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'message'</span> => $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->lang->error->loginTimeout))); <span style="padding:0px; max-width:1000%; color:rgb(175, 175, 175); font-style:italic;">// Fix bug #14478.</span></span></code><code><span style="padding:0px; max-width:1000%;"> }</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> $referer = helper::safe64Encode($uri);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> die(js::locate(helper::createLink(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'user'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'login'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">"referer=$referer"</span>)));</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">catch</span>(EndResponseException $endResponseException)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> echo $endResponseException->getContent();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code>

其中commonModel::hasPriv()函数是内置公共的验证权限,代码中可以看出无权限访问就会执行deny 方法,而deny 最后验证的结果是无权限则执行helper::end(),该方法是直接抛出异常,就会进入上面的try cache逻辑。

1

2

3

4

public static function end($content = '')

{

throw EndResponseException::create($content);

}

在进入权限检查的流程前需要在$this->app->user 不为空的情况下将 $this->session->user赋值给 $this->app->user ,然后再做权限检查。因此我们还需要构造一个$this->session->user,即写一个session['user']才能进行绕过。所以现在思路很清晰了,只需$this->session->user 存在就可以通过⽤户是否登录的检查,使权限检查的函数如同虚设。 根据这个思路逆推可以得出结论:只要有任意⼀个⽤户session就可以调⽤任意模块的任意⽅法。

经过代码审计发现captcha函数可以直接写入一个自定义key的session,此段代码本意是设置生成一个自定义session的key的验证码,开发者应该是想写一个公共的验证码生成函数让其他开发者做新功能需要的时候可以直接调用,正好可以利用生成一个key为user的session。

1

<code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">public</span> function <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">captcha</span><span style="padding:0px; max-width:1000%;">($sessionVar = <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'captcha'</span>, $uuid = <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></span></span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $obLevel = ob_get_level();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> for($i = 0; $i < $obLevel; $i++) ob_end_clean();</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> header('</span>Content-Type: image/jpeg<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">');</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> $captcha = $this->app->loadClass('</span>captcha<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">');</span></span></code><code><span style="padding:0px; max-width:1000%;"> <br> $this->session->set($sessionVar, $captcha->getPhrase());</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $captcha->build()->output();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code>

通过上述思路可以成功实现权限绕过,不过经过实际测试发现,能绕过访问的皆为公共模块。因为在禅道的功能权限验证中还有一部分是验证userid或level。就好比某些用户有“项目1”的权限,某些用户有“项目2”的权限,所以类似这类的数据任然不能访问获取。

命令执行-漏洞分析

实际上整个利用链最关键的一环就在上面的权限绕过上,禅道系统后台本身存在多个sql注入及命令执行漏洞,本文给出一种后台命令执行的方法供参考,其他利用点感兴趣的小伙伴可自行研究。

在权限绕过后,接下来我们需要分析后台命令执行点的位置。通过代码审计,最终锁定在module/repo/model.php文件,其中checkConnection函数会进行SCM=Subversion判断,$client是导致命令注入的参数点,一条完整的函数间调用的利用过程如下所示:

module/repo/model.php->create()

module/repo/control.php->edit ()

module/repo/model.php->update($repoID)->checkConnection()->exec($versionCommand,$versionOutput, $versionResult);

PS:为什么要创建仓库,因为在查看checkConnection调用函数为create和update,但是在create的时候必须经过checkClient 的判断,必须要创建一个文件才行,如果SCM指定为Gitlab就不需要通过checkClient判断。

具体复现思路如下:

1.进入创建仓库的函数:module/repo/model.php

1

<code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">public</span> function <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">create</span><span style="padding:0px; max-width:1000%;">()</span></span></span></code><code><span style="padding:0px; max-width:1000%;">{</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(!$<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->checkClient()) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">return</span> <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">false</span>;</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(!$<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->checkConnection()) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">return</span> <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">false</span>;</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> $isPipelineServer = in_array(strtolower($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->post->SCM), $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->config->repo->gitServiceList) ? <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">true</span> : <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">false</span>;</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> $data = fixer::input(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'post'</span>)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> ->setIf($isPipelineServer, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'password'</span>, $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->post->serviceToken)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> ->setIf($<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->post->SCM == <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'Gitlab'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'path'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> ->setIf($this->post->SCM == '</span>Gitlab<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'client'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> ->setIf($this->post->SCM == '</span>Gitlab<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'extra'</span>, $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->post->serviceProject)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> ->setIf($isPipelineServer, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'prefix'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> ->setIf($this->post->SCM == '</span>Git<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'account'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> ->setIf($this->post->SCM == '</span>Git<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'password'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> ->skipSpecial('</span>path,client,account,password<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> ->setDefault(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'product'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> ->join('</span>product<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">','</span>)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> ->setDefault(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'projects'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'')->join('</span>projects<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">','</span>)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> ->get();</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $data->acl = empty($data->acl) ? <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'' : json_encode($data->acl);</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> if($data->SCM == '</span>Subversion<span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">'</span>)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $scm = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->app->loadClass(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'scm'</span>);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $scm->setEngine($data);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $info <br> = $scm->info(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'');</span></span></code><code><span style="padding:0px; max-width:1000%;"> <br> $infoRoot = urldecode($info->root);</span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> $data->prefix = empty($infoRoot) ? '</span><span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">' : trim(str_ireplace($infoRoot, '</span><span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">', str_replace('</span>\\<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">', '</span>/<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">', $data->path)), '</span>/<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">');</span></span></code><code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"> <br> if($data->prefix) $data->prefix = '</span>/<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">' . $data->prefix;</span></span></code><code><span style="padding:0px; max-width:1000%;"> <br> }</span></code>

当SCM类型指定为Subversion时,后续控制$client才可以完成命令注入。

2.编辑代码仓库进入module/repo/control.php中的edit函数,post传参会进入到update函数。

1

<code><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%;"><span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">public</span> function <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">edit</span><span style="padding:0px; max-width:1000%;">($repoID, $objectID = <span style="padding:0px; max-width:1000%; color:rgb(14, 156, 229);">0</span>)</span></span></span></code><code><span style="padding:0px; max-width:1000%;">{</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->commonAction($repoID, $objectID);</span></code><code><span style="padding:0px; max-width:1000%;"><br></span></code><code><span style="padding:0px; max-width:1000%;"> $repo = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->repo->getRepoByID($repoID);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>($_POST)</span></code><code><span style="padding:0px; max-width:1000%;"> <br> {</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $noNeedSync = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->repo->update($repoID);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">if</span>(dao::isError()) <span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">return</span> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->send(<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">array</span>(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'result'</span> => <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'fail'</span>, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'message'</span> => dao::getError()));</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $newRepo = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->repo->getRepoByID($repoID);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $actionID = $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->loadModel(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'action'</span>)->create(<span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'repo'</span>, $repoID, <span style="padding:0px; max-width:1000%; color:rgb(221, 17, 68);">'edited'</span>);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $changes = common::createChanges($repo, $newRepo);</span></code><code><span style="padding:0px; max-width:1000%;"> <br> $<span style="padding:0px; max-width:1000%; color:rgb(202, 125, 55);">this</span>->action->logHistory($actionID, $changes);</span></code>

跟踪update函数到module/repo/model.php,需要将scm设置为Subversion,此时会去检测svn服务器是否可以连接。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

public function update($id){

$repo = $this->getRepoByID($id);

if(!$this->checkConnection()) return false;

$isPipelineServer = in_array(strtolower($this->post->SCM),$this->config->repo->gitServiceList) ? true : false;

$data = fixer::input('post')

->setIf($isPipelineServer, 'password', $this->post->serviceToken)

->setIf($this->post->SCM == 'Gitlab', 'path', '')

->setIf($this->post->SCM == 'Gitlab', 'client', '')

->setIf($this->post->SCM == 'Gitlab', 'extra', $this->post->serviceProject)

->setDefault('prefix', $repo->prefix)

->setIf($this->post->SCM == 'Gitlab', 'prefix', '')

->setDefault('client', 'svn')

->setDefault('product', '')

->skipSpecial('path,client,account,password')

跟踪该函数,$this->post->SCM等于Subversions时会去check svn服务器version,此刻会把$this->post->client拼接到执行的versionCommand 中,造成命令执行。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

if(empty($_POST)) return false;

$scm

= $this->post->SCM;

$client

= $this->post->client;

$account = $this->post->account;

$password = $this->post->password;

$encoding = strtoupper($this->post->encoding);

$path

= $this->post->path;

if($encoding != 'UTF8' and $encoding != 'UTF-8') $path = helper::convertEncoding($path, 'utf-8', $encoding);

if($scm == 'Subversion')

{

/* Get svn version. */

$versionCommand = "$client --version --quiet 2>&1";

exec($versionCommand, $versionOutput, $versionResult);

if($versionResult)

{

$message = sprintf($this->lang->repo->error->output, $versionCommand, $versionResult, join("<br />", $versionOutput));

dao::$errors['client'] = $this->lang->repo->error->cmd . "<br />" . nl2br($message);

return false;

}

$svnVersion = end($versionOutput);

命令执行最终效果截图:

修复建议

目前禅道官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。

如不能升级,可在module/common/model.php文件中的echo $endResponseException->getContent();后面加上exit(); 来修复权限绕过漏洞。

烽火台实验室公众号回复“zentaopoc”可获取漏洞自检脚本,该脚本仅用于检测自有系统是否存在漏洞,若确认漏洞存在请尽快进行版本升级和修复。

原文链接

盛邦安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
禅道项目管理系统RCE漏洞复现+利用
0xSec
02-01 1万+
2023年1月6日,互联网披露其旧版本中存在权限绕过命令执行漏洞,攻击者可在无需登录的情况下构造恶意请求执行任意命令,控制服务器。
禅道项目管理软件企业版 4.0.2
09-21
禅道是一款国产开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整覆盖了研发项目管理的核心流程。禅道管理思想注重实效,功能完备丰富,操作简洁高效,界面美观大方,搜索功能强大,统计报表丰富多样,软件架构合理,扩展灵活,有完善的API可以调用。禅道,专注研发项目管理!
【组件攻击链】禅道项目管理系统(ZenTaoPMS)高危漏洞分析与利用
further_eye的博客
12-21 4482
近年来禅道漏洞频发,从2018年开始,每年都会爆出比较严重的高危漏洞,通过这些高危漏洞均可对服务器造成一定的影响,甚至可以获取服务器的最高权限
禅道项目管理系统身份认证绕过漏洞
huangyongkang666的博客
04-27 1205
禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发项目管理的核心流程。禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器16.x
PHP 面试知识点整理归纳
lxw1844912514的博客
04-13 610
基础篇了解大部分数组处理函数 array_chunk — 将一个数组分割成多个 array_column — 返回数组中指定的一列 array_combine — 创建一个数组,用一个数组的值作为其键名,另一个数组的值作为其值(另一种意义的合并数组) array_flip — 交换数组中的键和值 array_key_exists — 检查数组里是否有指定的键名或索引...
常见异常解析
fuyou0105的博客
09-18 9267
ConcurrentHashMap与CopyOnWriteArrayList比较。 博客分类: Java ConcurrentHashMap ConcurrentHashMap引入了Segment,每个Segment又是一个hashtable,相当于是两级Hash表,然后锁是在Segment一级进行的,提高了并发性。缺点是对整个集合进行操作的方法如 size() 或...
禅道项目管理系统存在远程命令执行漏洞(RCE)
nnn2188185的博客
04-14 2909
禅道是第一款国产的开源项目管理软件,也是国内最流行的项目管理软件。该系统在2023年初被爆出在野命令执行漏洞,官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道项目管理系统权限认证存在缺陷导致,攻击者可利用该漏洞在未授权的情况下,通过权限绕过在服务器执行任意命令
禅道CMS 11.6漏洞
chaojixiaojingang
09-09 4952
一.SQL注入漏洞 Payload: http://127.0.0.1/zentaopms/www/api-getModel-api-sql-sql=select+account,password+from+zt_user 二.任意文件读取漏洞 Payload: http://127.0.0.1/zentaopms/www/api-getModel-file-parseCSV-fileName=/etc/passwd 三.远程代码执行漏洞 1)远程代码执行命令phpnifo(); P
禅道研发项⽬管理系统未授权RCE漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-09 781
Zendao禅道是第一款国产的开源项目管理软件,他的核心管理思想基于敏捷方法scrum,内置了产品管理和项目管理,同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能。
禅道CMS文件上传漏洞(CNVD-C-2020-121325)
chaojixiaojingang
10-30 9586
1.影响版本 <=12.4.2 2.漏洞描述 禅道CMS<=12.4.2版本存在文件上传漏洞,该漏洞由于开发者对link参数过滤不严,导致攻击者对下载链接可控,导致可远程下载服务器恶意脚本文件,造成任意代码执行,获取webshell。 3.漏洞POC 1)http://[目标地址]/www/client-download-[$version参数]-[base64加密后的恶意文件地址].html 2)http:// [目标地址] /www/index.php?m=clie...
禅道研发项目管理系统命令注入分析.pdf
04-22
禅道研发项目管理系统命令注入分析.pdf
禅道研发项⽬管理系统sql注入漏洞.zip
01-21
客户关系管理系统(CRM): 用于管理与客户之间的关系,包括客户信息、沟通记录、销售机会跟踪等。CRM系统有助于企业更好地理解客户需求,提高客户满意度和保留率。 医院管理系统: 用于管理医院或医疗机构的患者...
禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)POC
最新发布
05-10
禅道身份认证POC测试payload
生成禅道系统任务报表(SQL)
06-03
包含的字段为: v.id 任务编号, d.`name` 部门名称, CONCAT(v.assignedTo,'(',u.realname,')')登记人, v.pname 项目, v.tname 任务名称, v.estimate 预计工时, v.consumed 已完成工时, v.`left` 剩余工时, ...
禅道管理系统使用说明.ppt
04-16
最新版禅道管理系统使用说明.ppt;内容包含:系统管理员、产品经理、项目经理、测试团队人员、开发团队人员等使用说明;
禅道项目管理系统远程命令执行漏洞
qq_18209847的博客
01-12 1217
禅道项目管理系统远程命令执行漏洞禅道是第一款国产的开源项目管理软件,它的核心管理思想基于敏捷方法 scrum,内置了产品管理和项目管理,同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能,在一个软件中就可以将软件研发中的需求、任务、bug、用例、计划、发布等要素有序地跟踪管理起来,完整地覆盖了项目管理的核心流程。
登录禅道时,忘记密码怎么办?
blue2580的博客
09-12 7050
点击“数据库管理”,在zentao中找到zt_user表,对zt_user表中的password 改为 e10adc3949ba59abbe56e057f20f883e ,即对应的登录密码被修改为默认值:123456。此时返回禅道登录页面,就可以成功登录禅道
禅道项目管理系统 身份验证漏洞分析QVD-2024-15263
shelter1234567的博客
05-03 920
最近不怎么更新了!向小伙伴说明下 我不是什么组织 更不什么经销号(尽管csdn有很多经销广告号)一确实是下岗了!忙着为找工作而发愁。简历都投出去如同石沉大海能不愁吗!.哎......二是忙着论文及材料的事....三是也看了最近的漏洞,感觉也没啥可分析的 一眼就看出问题所在。有什么可分析的呢!就像医生看看患者如同看萝卜白菜一样.....,那分析反序列化链呢,这也没什么意思啊!话说到此,今儿个就推荐你看这篇文章。有一定难度挑战度,内容还是跟以前一样,以一个挖洞者的视角来讲解分析
禅道启动命令
05-25
禅道是一个基于 PHP 的开源项目管理软件,需要在服务器上安装并配置 Web 服务器和 PHP 环境才能运行。以下是启动禅道的步骤: 1. 进入禅道安装目录,执行以下命令: ``` cd /path/to/zentao/ ``` 2. 启动 PHP 内置 Web 服务器: ``` php -S localhost:8000 ``` 3. 在浏览器中输入 `http://localhost:8000`,即可访问禅道。如果需要在其他机器上访问禅道,则需要将 `localhost` 替换为服务器的 IP 地址或域名。 注意:以上命令仅适用于测试和开发环境,生产环境中应使用真正的 Web 服务器(如 Apache 或 Nginx)来运行禅道

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值