禅道系统权限绕过到命令执行【分享】

2023-01-13 15:26:35 48 0xShe 10123 2

0x01 前言 ####最近看到禅道出新洞了，禅道系统权限绕过到命令执行，看到八卦水区有人要脚本，就顺手发一下

0x02 Github版

Github的脚本 https://github.com/webraybtl/zentaopms_poc

0x03 人体工程学批量修改版

在github的脚本上修改

1.增加了批量扫描

2.去除了报错

3.增加了zentao目录判断

4.增加了存在漏洞的URL结果输出功能

类别安全研究

关于作者

0xShe139篇文章1088篇回复

0xShe

评论48次

要评论？请先登录或注册

28楼

ahsrc
2023-1-28 21:47

收藏起来，扩充武器库

回复|@ta|踩(0)|顶(0)
27楼

demia
2023-1-17 10:02

感谢师傅的分享，又收集到一个poc

回复|@ta|踩(0)|顶(0)
26楼

雪娃娃
2023-1-17 09:46

感谢大佬！

回复|@ta|踩(0)|顶(0)
25楼

zhouxj
2023-1-16 11:17

好东西呀，可惜我是僵尸会员下不了

回复|@ta|踩(0)|顶(0)
24楼

c1wh1te
2023-1-16 10:41

rce的部分好像有版本限制，我这边使用的官方docker镜像17.8版本没有rce，18.0.1beta可以

回复|@ta|踩(0)|顶(0)
23楼
keecth
2023-1-15 16:03
要实现注入checkClient函数返回必须为true，当SCM=Subversion时只有一个办法能返回true。
if(file_exists($clientVersionFile)) return true;
但是这个文件不存在，导致checkClient始终返回false。请问这个问题是怎么解决的
回复|@ta|踩(0)|顶(0)
22楼

keecth
2023-1-15 14:57

client参数过不去呢？使用github上的poc也不行呢

回复|@ta|踩(0)|顶(0)
21楼

jeromefo
2023-1-15 12:52

感谢版主分享，刚放年假正好研究分析下

回复|@ta|踩(0)|顶(0)
20楼

inquire
2023-1-14 21:40

这个洞主要就是绕过权限验证吧

回复|@ta|踩(0)|顶(0)
19楼

luckone
2023-1-14 21:33

感谢版主大牛分享的禅道RCE人体工程学版

回复|@ta|踩(0)|顶(0)
18楼

宝宝
2023-1-14 20:47

核心代码已扣。。。感谢

回复|@ta|踩(0)|顶(0)
17楼

小镇做题家
2023-1-14 17:27

这个需要登录才能使用的么？

回复|@ta|踩(0)|顶(0)
16楼

mvphack88
2023-1-14 14:57

感谢楼主分享，学xi了，感谢

回复|@ta|踩(0)|顶(0)
15楼

juanxincai017
2023-1-14 11:40

增加批量扫描可以的

回复|@ta|踩(0)|顶(0)
14楼

清心3389
2023-1-14 10:38

感谢分享其实这个洞说白了就是校验权限代码中校验不通过的话会接抛出异常，而抛出异常正好就执行到了catch的部分，并没有退出程序，这个是主要原因绕过了权限校验后台其实好几个点都可以的

回复|@ta|踩(0)|顶(0)
13楼

jxzzwlaq
2023-1-14 01:12

看了下python源码，成功搞定手里的项目感谢

回复|@ta|踩(0)|顶(0)
12楼

now55555
2023-1-14 00:23

这个报错太长了。。整夜的源代码出来了

回复|@ta|踩(0)|顶(0)
11楼

0xShe
2023-1-14 00:02

laowine：
修改url直接使，感觉有点点慢，
回复|@ta
1

下载修改版可以批量

回复|@ta|踩(0)|顶(0)
10楼

laowine
2023-1-13 23:49

修改url直接使，感觉有点点慢，

回复|@ta|踩(0)|顶(0)
9楼

青年小黑
2023-1-13 22:02

感谢版主大牛分享的禅道RCE人体工程学版

回复|@ta|踩(0)|顶(0)