ZentaoPMS任意文件上传漏洞复现

当斗哥一筹莫展，无从下笔时，

一位从事项目管理职业的小姐姐一语道破天机。

她使用的禅道管理软件引起了我的注意，

为了拉进与小姐姐的直线距离，

斗哥对禅道进行了全面的检测，

本期分享

该管理系统后台任意文件上传漏洞的复现过程。

环境搭建

STEP1：准备基础环境：Ubuntu 14.04；

STEP2：网上下载禅道6.2版本的源码；

下载地址：https://jaist.dl.sourceforge.net/project/zentao/6.2/ZenTaoPMS.6.2.stable.zip

STEP3：将网上下载的源码解压到/var/www/html目录下；

STEP4：通过浏览器访问http://ip/zentaopms/www/index.php，系统会自动转入安装程序。安装好网站。

漏洞复现

1. 禅道管理系统部署成功了，我们根据设置的账号密码登录系统。

访问http://ip/zentaopms/www/index.php admin/admin

2.登录系统大致浏览系统的各个模块，发现后台->扩展->编辑器&API->后台管理->model 新增方法处可以直接上传后缀为php的文件。

3.打开burp设置好代理，抓取跟踪该页面保存后的数据，并加以分析。正常走一遍数据保存的过程：

(1)burp拦截状态下，编辑好页面数据点击保存。

(2)将拦截到的数据包右键send to repeater。

(3)repeater页面下点击go , 正常返回数据。

(4)访问该链接。

思路分析

1.首先通过浏览该系统的各个模块，寻找可利用的上传点，其次模拟正常上传查看是否返回上传后文件的路径，最后查看该文件路径是否有访问权限。通过上面的访问流程可以看出该上传点可以利用。

关键参数：

filePath=L3Zhci93d3cvaHRtbC96ZW50YW9wbXMvbW9kdWxlL2FkbWluL21vZGVsLnBocA==

fileContent=%3C%3Fphp%0D%0A

fileName=test.php

其中文件路径filePath使用了base64编码，文件内容fileContent字符部分被url编码了

而文件名字fileName即我们上传的文件名。

所以我们刚才上传的参数解码后内容如下所示：

filePath= /var/www/html/zentaopms/module/admin/ext/model/test.php

fileContent= <?php

fileName=test.php

2.上传一句话木马获取服务器权限。

重新填写数据，这里我们写入一句话木马，并更改文件为yijuhua.php

（如图上传成功）

3. 使用菜刀链接一句话木马

Webshell地址：http://192.168.159.134/zentaopms/module/admin/ext/model/yijuhua.php

密码：v

（如图连接成功）

总结

禅道这个系统有许多高危漏洞，本期给大家分享的是任意文件上传。下期将带来后台SQL注入漏洞的分析和复现，小伙伴一定要跟紧步伐哦！