ZentaoPMS任意文件上传漏洞复现

环境搭建: STEP1:准备基础环境:Ubuntu 14.04; STEP2:网上下载禅道6.2版本的源码;

当斗哥一筹莫展,无从下笔时,

一位从事项目管理职业的小姐姐一语道破天机。

01.webp.jpg

她使用的禅道管理软件引起了我的注意,

为了拉进与小姐姐的直线距离,

斗哥对禅道进行了全面的检测,

本期分享

该管理系统后台任意文件上传漏洞的复现过程。

02.webp.jpg

环境搭建:

STEP1:准备基础环境:Ubuntu 14.04;

STEP2:网上下载禅道6.2版本的源码;

下载地址:https://jaist.dl.sourceforge.net/project/zentao/6.2/ZenTaoPMS.6.2.stable.zip

STEP3:将网上下载的源码解压到/var/www/html目录下;

环境.webp.jpg

STEP4:通过浏览器访问http://ip/zentaopms/www/index.php,系统会自动转入安装程序。安装好网站。

漏洞复现:

1. 禅道管理系统部署成功了,我们根据设置的账号密码登录系统。

访问http://ip/zentaopms/www/index.php    admin/admin

漏洞1.webp.jpg

2.登录系统大致浏览系统的各个模块,发现后台->扩展->编辑器&API->后台管理->model 新增方法处可以直接上传后缀为php的文件。

漏洞2.webp.jpg

3.打开burp设置好代理,抓取跟踪该页面保存后的数据,并加以分析。正常走一遍数据保存的过程:

(1)burp拦截状态下,编辑好页面数据点击保存。

漏洞3 1.webp.jpg

(2)将拦截到的数据包右键send to repeater。

漏洞3-2.webp.jpg

(3)repeater页面下点击go , 正常返回数据。

漏洞3 3.webp.jpg

(4)访问该链接。

漏洞3 4.webp.jpg

思路分析:

1.首先通过浏览该系统的各个模块,寻找可利用的上传点,其次模拟正常上传查看是否返回上传后文件的路径,最后查看该文件路径是否有访问权限。通过上面的访问流程可以看出该上传点可以利用。

关键参数:

filePath=L3Zhci93d3cvaHRtbC96ZW50YW9wbXMvbW9kdWxlL2FkbWluL21vZGVsLnBocA==

fileContent=%3C%3Fphp%0D%0A

fileName=test.php

其中文件路径filePath使用了base64编码,文件内容fileContent字符部分被url编码了

而文件名字fileName即我们上传的文件名。

分析 1.webp.jpg

所以我们刚才上传的参数解码后内容如下所示:

filePath= /var/www/html/zentaopms/module/admin/ext/model/test.php

fileContent= <?php

fileName=test.php

2.上传一句话木马获取服务器权限。

重新填写数据,这里我们写入一句话木马,并更改文件为yijuhua.php

分析2.webp.jpg

分析3.webp.jpg

3. 使用菜刀链接一句话木马

Webshell地址:http://192.168.159.134/zentaopms/module/admin/ext/model/yijuhua.php

密码:v

菜刀 1.webp.jpg

菜刀2.webp.jpg

总结:

禅道这个系统有许多高危漏洞,本期给大家分享的是任意文件上传。下期将带来后台SQL注入漏洞的分析和复现,小伙伴一定要跟紧步伐哦!

640.webp.jpg

发表评论

已有 1 条评论

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php