用户
搜索
  • TA的每日心情
    开心
    2016-10-30 16:15
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看I

    i春秋-脚本小子

    Rank: 2

    11

    主题

    24

    帖子

    157

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2016-6-6
    发表于 2017-8-15 14:37:21 616563

    当斗哥一筹莫展,无从下笔时,
    一位从事项目管理职业的小姐姐一语道破天机。
    1.webp.jpg
    她使用的禅道管理软件引起了我的注意,
    为了拉进与小姐姐的直线距离,
    斗哥对禅道进行了全面的检测,
    本期分享
    该管理系统后台任意文件上传漏洞的复现过程。

    2.webp.jpg


    环境搭建:

    STEP1:准备基础环境:Ubuntu 14.04;
    STEP2:网上下载禅道6.2版本的源码;
    STEP3:将网上下载的源码解压到/var/www/html目录下;

    环境 1.webp.jpg

    STEP4:通过浏览器访问http://ip/zentaopms/www/index.php,系统会自动转入安装程序。安装好网站。


    漏洞复现:
    1. 禅道管理系统部署成功了,我们根据设置的账号密码登录系统。
    访问http://ip/zentaopms/www/index.php    admin/admin

    漏洞1.webp.jpg

    2.登录系统大致浏览系统的各个模块,发现后台->扩展->编辑器&API->后台管理->model 新增方法处可以直接上传后缀为php的文件。

    漏洞 2.webp.jpg

    3.打开burp设置好代理,抓取跟踪该页面保存后的数据,并加以分析。正常走一遍数据保存的过程:
    (1)burp拦截状态下,编辑好页面数据点击保存。

    漏洞3 1.webp.jpg


    (2)将拦截到的数据包右键send to repeater。

    漏洞3 2.webp.jpg


    (3)repeater页面下点击go , 正常返回数据。

    漏洞3 3.webp.jpg

    (4)访问该链接。

    漏洞3 4.webp.jpg

    思路分析:

    1.首先通过浏览该系统的各个模块,寻找可利用的上传点,其次模拟正常上传查看是否返回上传后文件的路径,最后查看该文件路径是否有访问权限。通过上面的访问流程可以看出该上传点可以利用。
    关键参数:
    filePath=L3Zhci93d3cvaHRtbC96ZW50YW9wbXMvbW9kdWxlL2FkbWluL21vZGVsLnBocA==
    fileContent=%3C%3Fphp%0D%0A
    fileName=test.php
    其中文件路径filePath使用了base64编码,文件内容fileContent字符部分被url编码了
    而文件名字fileName即我们上传的文件名。

    思路 1.webp.jpg

    所以我们刚才上传的参数解码后内容如下所示:
    filePath= /var/www/html/zentaopms/module/admin/ext/model/test.php
    fileContent= <?php
    fileName=test.php
    2.上传一句话木马获取服务器权限。
    重新填写数据,这里我们写入一句话木马,并更改文件为yijuhua.php

    2 1.webp.jpg

    2  2.webp.jpg

    3. 使用菜刀链接一句话木马
    密码:v

    菜刀1.webp.jpg

    菜刀2.webp.jpg

    总结:

    禅道这个系统有许多高危漏洞,本期给大家分享的是任意文件上传。下期将带来后台SQL注入漏洞的分析和复现,小伙伴一定要跟紧步伐哦!

    640.webp.jpg

    av画质。。。。
    使用道具 举报 回复
    这种漏洞有什么卵用吗 你是来刷存在感的。。。 骗我进来 = =
    使用道具 举报 回复
    发表于 2017-8-16 08:50:53
    xe3h8vnd 发表于 2017-8-15 20:36
    这种漏洞有什么卵用吗 你是来刷存在感的。。。 骗我进来 = =

    工作中会碰到的
    使用道具 举报 回复
    发表于 2017-8-16 18:20:53
    一个任意上传。。。有必要吗
    使用道具 举报 回复
    走在街上的猪 i春秋-见习白帽 关注网络安全~没有女朋友~
    5#
    发表于 2017-8-16 18:44:22
    顶一个。前几天刚碰到一个zentao的后台
    使用道具 举报 回复
    这个漏洞大多数人会倒在爆破和社工上。。。。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册