禅道 11.6版本 后台漏洞 复现和审计
文章目录
- 查看版本漏洞
- sql注入
- 任意文件读取
- rce
禅道 11.6版本下载地址
本次复现环境windows
先搞清楚禅道参数的传递方式,进入index.php慢慢看
先发现了这个语句:
这个导致禅道的查看版本信息的漏洞 跟进看一下
查看版本漏洞
复现payload:http://ip/zentao/index.php?mode=getconfig
跟进exportConfig()
文件位置:zentao\framework\router.class.php
调用父类的exportConfig() 跟进发现信息泄露的根源。
zentao\framework\base\router.class.php
传参方式:
在index.php中发现app对象的创建跟进
根据$app找到了config中的解析配置
zentao\config\config.php
有三种请求类型 PATH-INFO类型模式的分割符为‘-’
根据index.php中的parserequest()找到将url分割为参数的方法。找到parserequest()方法
zentao\framework\base\router.class.php 跟进setRouteBypathinfo()
发现分割方式为:将url分割为 模块名 : 方法名
参数传递过程 在index.php中总体流程就是依次调用如下这些
最后关键点在于调用getModel()方法
zentao\module\api\control.php
例如这个pauload:http://ip/www/api-getModel-api-sql-sql=select+account,password+from+zt_user
根据getModel方法中的第50行 参数调用大致流程如下:
调用方式为 先调用api模块中的getModel方法然后getModel方法再调用api模块中的sql方法 查询参数为sql=select+account,password+from+zt_user
sql注入
接着上面的 跟进api模块sql方法
zentao\module\api\model.php
sql方法判断查询语句中以select开头则执行查询。
并未做任何安全过滤。导致sql注入
http://ip/www/api-getModel-api-sql-sql=select+account,password+from+zt_user
任意文件读取
本地在xampp\zentao\module\api目录下创建文件123内容为123
复现:http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=123
调用流程为:
api模块getModel方法调用file模块parseCSV方法并传入参数fileName=123
直接找到parseCSV方法:
直接将内容写入$content并整理输出。
linux可直接读取/etc/passwd,windows为什么不能读取带有后缀的文件呢?比如:C:/windows/win.ini
因为下面的parsePathInfo()函数将路径处理了:
rce
复现:
先将phphinfo写入文件bote
http://ip/zentao/api-getModel-editor-save-filePath=bote
然后利用文件包含导致命令代码执行。
http://ip//zentao/api-getModel-api-getMethod-filePath=bote/1
这次rce由下面两种漏洞组合造成:
1、任意文件写入
根据payload:api-getModel-editor-save-filePath=bote
调用editor模块将filePath=bote 传入save方法
直接找到save方法 ,解释写在图片注释中
zentao\module\editor\model.php
2、文件包含
根据payload:api-getModel-api-getMethod-filePath=bote/1
调用api模块getMethod方法。
注意:$fileName = dirname($filePath); 是返回目录路径 例:/tmp/bote/1.txt 返回:/tmp/bote
所以payload需要再包一层目录。
然后进入zentao\framework\base\helper.class.php , import方法 进行文件包含
禅道 11.6版本 后台漏洞 复现和审计相关推荐
- 禅道11.0windows本机安装
为了验证禅道的某个功能,需要用到生产上的数据,又不能在生产上进行.只能在本地搭建一套禅道,还原生产的数据到本地. 1.下载禅道 生产上用的是禅道11.0,数据库是11.0版本的数据库,为了更好兼容,下 ...
- 禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记
禅道全版本rce漏洞复现笔记 漏洞说明 禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理.项目管理.测试管理于一体,同时还包含了事务管理.组织管理等诸多功能,是中小 ...
- 禅道项目管理_禅道 11.6.1 版本发布,完善细节,修复 Bug
禅道项目管理软件集产品管理.项目管理.质量管理.文档管理.组织管理和事务管理于一体,是一款功能完备的项目管理软件,完美地覆盖了项目管理的核心流程.禅道官网:www.zentao.net. 大家好,禅道 ...
- 通达OA 11.5 SQL注入漏洞复现
0x00 漏洞描述 通达OA 11.5存在sql注入 0x01 漏洞影响版本 通达oa 11.5 0x02 漏洞复现 1.下载通达OA 11.5 https://cdndown.tongda2000. ...
- 使用Docker快速部署禅道V11.6版本
使用Docker快速部署禅道V11.6版本 (一)部署禅道 docker run --name zentao_v11.5 -p 8084:80 -v /u01/zentao/www:/app/zent ...
- Docker 安装最新版禅道16.5版本 原创
Docker 安装最新版禅道16.5版本 原创 1下载禅道 2运行镜像 3.查看启动日志,可以看到启动成功: 下载禅道 docker pull idoop/zentao; 2.运行镜像 docker ...
- 禅道 11.4.1 版本发布,主要优化细节
禅道项目管理软件集产品管理.项目管理.质量管理.文档管理.组织管理和事务管理于一体,是一款功能完备的项目管理软件,完美地覆盖了项目管理的核心流程.禅道官网:www.zentao.net. 大家好,禅道 ...
- 禅道CMS文件上传漏洞(CNVD-C-2020-121325)
1.影响版本 <=12.4.2 2.漏洞描述 禅道CMS<=12.4.2版本存在文件上传漏洞,该漏洞由于开发者对link参数过滤不严,导致攻击者对下载链接可控,导致可远程下载服务器恶意脚本 ...
- ewebeditor文件上传漏洞2.8.0版本(漏洞复现)
漏洞概述 ewebeditor 是常用的网站后台编辑器,此编辑器有asp等版本. 登陆后台之后,可以通过修改上传文件白名单的方法,任意文件上传. 漏洞危害等级 高危 影响版本 v2.8.0 漏洞复现 ...
最新文章
- x86终端登录horizon view设置
- 关于mybatis的@Param注解和参数
- java输入流读取几行文本_Java基础笔记Day_16
- c语言指针代码大全,C语言之指针(示例代码)
- ARM太贵,80多家科技巨头悄然站队开源芯片架构RISC-V
- python可以用vs编辑吗_在VS2017中编写Python程序
- 冒泡排序的C语言实现
- 关于C和C++的register关键字
- RAID磁盘阵列简介
- win10系统20H2版本更新以后桌面底下弹出了对话框,说我们在加载你的信息流时遇到了问题?
- 企业邮箱邮件怎么撤回,邮件撤回怎么用?
- 《操作系统真象还原》第十四章 ---- 实现文件系统 任务繁多 饭得一口口吃路得一步步走啊(上一)
- fNIRS–EEG监测人脑活动和氧合作用的研究进展
- 使用钉钉发送消息(可用于 服务异常通知、定时任务异常通知 等等...)
- error:‘%include‘ expects a file name
- 淘淘商城第78讲——查询商品详情添加缓存的分析
- Android 动画实现
- Linux卡死的解决方法 solution of server stuck or freezes
- (其他)在线生成条码的网址
- Ubuntu1804----使用mysql
热门文章
- 【SPSS】激素水平项目实战案例
- System Management Bus
- 扎克伯格曾获蒂姆·库克免费赠送iPhone 5
- HTML音乐播放器插件编写
- dl388 Gen10服务器U盘装系统,HPE DL388 Gen10 服务器
- 鸿蒙生息 不朽凡人,不朽凡人
- 从麻省理工到云计算创业公司,我经历了什么?
- 内娱完蛋了?不如让5G“出道”来抢救一下
- 【GATK加速】替换BWA/GATK/Mutect2,Sentieon软件 肿瘤体细胞突变检测分析指南-系列2(ctDNA及其他高深度测序样本)
- Freelancer自由工作离我们还有多远?