禅道 11.6版本后台漏洞复现和审计

文章目录

查看版本漏洞
sql注入
任意文件读取
rce

禅道 11.6版本下载地址
本次复现环境windows

先搞清楚禅道参数的传递方式，进入index.php慢慢看
先发现了这个语句：

这个导致禅道的查看版本信息的漏洞跟进看一下

查看版本漏洞

复现payload：http://ip/zentao/index.php?mode=getconfig

跟进exportConfig()
文件位置：zentao\framework\router.class.php

调用父类的exportConfig() 跟进发现信息泄露的根源。
zentao\framework\base\router.class.php

传参方式：
在index.php中发现app对象的创建跟进

根据$app找到了config中的解析配置
zentao\config\config.php
有三种请求类型 PATH-INFO类型模式的分割符为‘-’

根据index.php中的parserequest()找到将url分割为参数的方法。找到parserequest()方法

zentao\framework\base\router.class.php 跟进setRouteBypathinfo()

发现分割方式为：将url分割为模块名 : 方法名
参数传递过程在index.php中总体流程就是依次调用如下这些

最后关键点在于调用getModel()方法
zentao\module\api\control.php

例如这个pauload：http://ip/www/api-getModel-api-sql-sql=select+account,password+from+zt_user
根据getModel方法中的第50行参数调用大致流程如下：
调用方式为先调用api模块中的getModel方法然后getModel方法再调用api模块中的sql方法查询参数为sql=select+account,password+from+zt_user

sql注入

接着上面的跟进api模块sql方法
zentao\module\api\model.php

sql方法判断查询语句中以select开头则执行查询。
并未做任何安全过滤。导致sql注入
http://ip/www/api-getModel-api-sql-sql=select+account,password+from+zt_user

任意文件读取

本地在xampp\zentao\module\api目录下创建文件123内容为123
复现：http://127.0.0.1/zentao/api-getModel-file-parseCSV-fileName=123

调用流程为：
api模块getModel方法调用file模块parseCSV方法并传入参数fileName=123
直接找到parseCSV方法：

直接将内容写入$content并整理输出。
linux可直接读取/etc/passwd，windows为什么不能读取带有后缀的文件呢？比如：C:/windows/win.ini
因为下面的parsePathInfo()函数将路径处理了：

rce

复现：
先将phphinfo写入文件bote
http://ip/zentao/api-getModel-editor-save-filePath=bote

然后利用文件包含导致命令代码执行。
http://ip//zentao/api-getModel-api-getMethod-filePath=bote/1

这次rce由下面两种漏洞组合造成：
1、任意文件写入
根据payload：api-getModel-editor-save-filePath=bote
调用editor模块将filePath=bote 传入save方法
直接找到save方法，解释写在图片注释中
zentao\module\editor\model.php

2、文件包含
根据payload：api-getModel-api-getMethod-filePath=bote/1
调用api模块getMethod方法。

注意：$fileName = dirname($filePath); 是返回目录路径例：/tmp/bote/1.txt 返回：/tmp/bote
所以payload需要再包一层目录。
然后进入zentao\framework\base\helper.class.php ， import方法进行文件包含