禅道后台命令注入漏洞(CVE-2023-44827)

admin
admin
admin
138655
文章
114
评论
2023年10月17日13:53:04评论233 views字数 858阅读2分51秒阅读模式

免责声明

本公众号仅用于技术交流与学习,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号只是知识的搬运工,取之于民用之于民。
如果大家不行错过文章推送的话,可以将公众号设为星标☆
之前在做禅道企业版测试时,发现一个很有意思的点,奈何客户环境不允许, 所以回去之后使用官方友好的“一键安装包”浅试一下:
项目下载地址:https://www.zentao.net/dl/zentao/biz8.7/ZenTaoPMS-biz8.7-zbox_amd64.tar.gz

禅道后台命令注入漏洞(CVE-2023-44827)

## 漏洞描述

Zentaopms 企业版和旗舰版存在后台命令注入漏洞,允许恶意用户执行 shell 脚本。

    ## 漏洞原理

造成该漏洞的原因是在“后台>Office>Office转换设置”功能中,sofficePath参数的过滤不严格,导致恶意用户能够执行指定的shell脚本

    ## 漏洞复现

看到soffice可填写绝对路径,考虑是否有文件包含或者路径穿越;

禅道后台命令注入漏洞(CVE-2023-44827)

通过路径定位至源码文件,但由于加密无法进行代码审计:
zentaopms/extension/biz/custom/ext/control/libreoffice.php
zentaopms/extension/max/custom/ext/control/libreoffice.php

禅道后台命令注入漏洞(CVE-2023-44827)

随便打个地址看看,有一些异常报错:

禅道后台命令注入漏洞(CVE-2023-44827)

禅道后台命令注入漏洞(CVE-2023-44827)

假设在/tmp下给定一个有执行权限的shell脚本:tmp.sh,尝试看是否执行:

禅道后台命令注入漏洞(CVE-2023-44827)

将soffice路径值指定为/tmp/tmp.sh时,该脚本执行结果如下:

-->旗舰版4.7

禅道后台命令注入漏洞(CVE-2023-44827)

-->企业版8.7

禅道后台命令注入漏洞(CVE-2023-44827)

另外还测试了下是否可以执行其他命令,应该是都可以的,但是没回显,就不详细论述啦~~

禅道后台命令注入漏洞(CVE-2023-44827)

禅道后台命令注入漏洞(CVE-2023-44827)

禅道后台命令注入漏洞(CVE-2023-44827)

                              ## 总结
       利用难度还是很苛刻的,需要登录系统且服务器本身就有可执行的shell脚本,但是能用的话威胁程度也是较高的。

总之~喜提CVE一枚

禅道后台命令注入漏洞(CVE-2023-44827)

禅道后台命令注入漏洞(CVE-2023-44827)


原文始发于微信公众号(Hack All):禅道后台命令注入漏洞(CVE-2023-44827)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月17日13:53:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   禅道后台命令注入漏洞(CVE-2023-44827)https://cn-sec.com/archives/2116253.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息