禅道11.6 SQL注入漏洞分析与利用<\/h1>

漏洞概述<\/h2>
禅道11.6版本存在一个SQL注入漏洞，攻击者可以通过构造特定的URL请求直接执行任意SQL语句，获取数据库敏感信息如用户账号密码等。该漏洞位于API模块的getModel方法中，通过call_user_func_array()函数调用导致。<\/p>

漏洞利用条件<\/h2>

需要有效的用户权限（已登录状态）<\/li>

目标系统为禅道11.6版本<\/li> <\/ul>

漏洞利用POC<\/h2>

http:\/\/127.0.0.1\/zentao116\/api-getModel-api-sql-sql=select+account,password+from+zt_user
<\/code><\/pre>
技术分析<\/h2>
URL解析机制<\/h3>
禅道的请求类型分为三种：PATH_INFO、PATH_INFO2和GET。漏洞利用使用的是PATH_INFO模式，以"-"方式传参。<\/p>

请求首先由index.php处理，创建应用实例<\/li>
调用$app->parseRequest()<\/code>解析请求<\/li>
在parsePathInfo()<\/code>函数中，URL以"."分隔，前面部分作为URI，后面部分作为viewType<\/li>
setRouteByPathInfo()<\/code>函数使用"-"分隔URI并整理为数组：

$items[0]<\/code>为模块名<\/li>
$item[1]<\/code>为方法名<\/li>
<\/ul>
<\/li>
<\/ol>
参数传递过程<\/h3>

对于PATH_INFO请求，调用getParams()<\/code>函数获取参数<\/li>
使用mergeParams<\/code>函数合并参数<\/li>
最终通过call_user_func_array()<\/code>调用目标方法：
call_user_func_array<\/span>(array<\/span>($module, $methodName), $this-><\/span>params<\/span>);
<\/span><\/span><\/code><\/pre>这相当于$module::$methodName($this->params)<\/code><\/li>
<\/ol>
漏洞根源<\/h3>
漏洞位于\/module\/api\/control.php<\/code>中的getModel方法：<\/p>
$result =<\/span> call_user_func_array<\/span>(array<\/span>(&<\/span>$module, $methodName), $params);
<\/span><\/span><\/code><\/pre>该方法允许直接调用API模块中的sql方法，而sql方法存在SQL注入漏洞：<\/p>
public<\/span> function<\/span> sql<\/span>($sql)
<\/span><\/span>{
<\/span><\/span>    $sql =<\/span> trim<\/span>($sql);
<\/span><\/span>    echo<\/span> $sql;
<\/span><\/span>    if<\/span>(strpos<\/span>($sql, 'select '<\/span>) ===<\/span> false<\/span>) return<\/span> $this-><\/span>dao<\/span>-><\/span>query<\/span>($sql)-><\/span>fetchAll<\/span>();
<\/span><\/span>    return<\/span> $this-><\/span>dao<\/span>-><\/span>query<\/span>($sql)-><\/span>fetchAll<\/span>();
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>该方法直接执行传入的SQL语句，仅做了简单的"select "字符串检查，但检查逻辑存在缺陷，无法有效防止SQL注入。<\/p>
漏洞修复建议<\/h2>

对传入的SQL语句进行严格过滤和参数化处理<\/li>
限制API模块的访问权限<\/li>
更新到最新版本的禅道系统<\/li>
<\/ol>
参考链接<\/h2>

[渗透笔记]禅道（payload）<\/li>
禅道11.6后台SQL注入漏洞复现分析（URL格式分析）<\/li>
<\/ul>

禅道11.6 SQL注入漏洞分析与利用<\/h1>

漏洞概述<\/h2> 禅道11.6版本存在一个SQL注入漏洞，攻击者可以通过构造特定的URL请求直接执行任意SQL语句，获取数据库敏感信息如用户账号密码等。该漏洞位于API模块的getModel方法中，通过call_user_func_array()函数调用导致。<\/p>

技术分析<\/h2>

参考链接<\/h2> [渗透笔记]禅道（payload）<\/li> 禅道11.6后台SQL注入漏洞复现分析（URL格式分析）<\/li> <\/ul>

漏洞概述<\/h2>
禅道11.6版本存在一个SQL注入漏洞，攻击者可以通过构造特定的URL请求直接执行任意SQL语句，获取数据库敏感信息如用户账号密码等。该漏洞位于API模块的getModel方法中，通过call_user_func_array()函数调用导致。<\/p>

参考链接<\/h2>

[渗透笔记]禅道（payload）<\/li>
禅道11.6后台SQL注入漏洞复现分析（URL格式分析）<\/li> <\/ul>