禅道后台命令执行漏洞

禅道作为一款集项目管理、质量管理等功能于一体的国产开源项目管理软件,因其全面覆盖了项目管理判断的核心流程而被广泛应用。
但禅道后台存在RCE(命令执行)漏洞,该漏洞在历史版本中存在。
本文将对这个漏洞进行深入的重构和分析。
首先,搭建禅道开发环境很重要。
您可以访问dl.cnezsoft.com/zentao/...并使用phpstudy来搭建环境。
接下来我们登录后端创建GitLab类型代码库,点击进入DevOps模块的设置选项,修改生成的代码库,点击保存并捕获数据包。
然后修改SCM和clientSCM参数为Subversion,修改client为calc|echo。
这一系列操作导致命令执行漏洞,导致命令被执行两次。
此过程演示了重新创建安全漏洞的过程,对安全学习者具有重要的指导意义。
为了帮助更多人了解网络安全,特别提供了一系列资源包,包括:网络安全学习发展路线图思维导图、60+经典网络安全工具包、100+SRC分析报告、150+网络安全。
攻防练习技术电子书、题库及权威CISSP认证考试指南、1800+页技能手册CTF练习、各大网络安全公司最新面试题合集、APP客户端安全检测指南(Android+iOS)。
深入分析发现,激活该漏洞需要首先创建代码库。
创建存储库后,调用edit方法进行编辑操作时,触发命令执行漏洞。
在这个过程中,创建代码库与编辑操作密切相关,关键在于客户的选择。
GitLab的选择使得在创建代码库时绕过客户检测并直接构建成功成为可能。
创建代码库时,代码包含客户端操作的测试。
只有选择GitLab才可以进行无客户端检测的操作。
最后,建议用户更新至禅道最新版本,以避免该漏洞的风险。

phpstudy_2016-2018_rce_backdoor

对于phpStudy中的RCE漏洞,攻击者可以利用该漏洞执行PHP命令,称为phpStudy后门。
该漏洞评级为高危,受影响版本包括php-5.2.17和php-5.4.45中的php_xmlrpc.dll文件。
识别漏洞的方法是在相关文件中查找特定字符串“@eva”。
该字符串的存在表明后门的存在。
对于phpStudy2018版本,检查路径为*:\PHPTutorial\PHP\PHP-5.2.17\ext\php_xmlrpc.dll和*:\PHPTutorial\PHP\PHP-5.4.45\ext\php_xmlrpc.dll。
利用该漏洞的深度攻击方式,攻击者利用IDA对xmlrpc.dll进行分析,发现其中植入了危险函数eval()。
攻击过程包括篡改初始化函数request_startup_func,并根据HTTP请求中的“Accept-Encoding”和“Accept-Charset”字段触发漏洞。
攻击者需要保证字段信息满足特定条件才能触发系统采集功能。
环境搭建方面,该漏洞存在于phpstudy20160311PHP-5.4.45版本中,通常通过phpinfo.php文件触发。
为了验证漏洞,可以开启BP拦截数据流量并发送给中继器。
对命令进行base64编码后,可以看到命令回显,证明当前用户是管理员。
目前尚无针对该漏洞的有效修复建议。