免责声明
本公众号仅用于技术交流与学习,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号只是知识的搬运工,取之于民用之于民。
如果大家不行错过文章推送的话,可以将公众号设为星标☆
之前在做禅道企业版测试时,发现一个很有意思的点,奈何客户环境不允许, 所以回去之后使用官方友好的“一键安装包”浅试一下:
项目下载地址:https://www.zentao.net/dl/zentao/biz8.7/ZenTaoPMS-biz8.7-zbox_amd64.tar.gz
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
## 漏洞描述
Zentaopms 企业版和旗舰版存在后台命令注入漏洞,允许恶意用户执行 shell 脚本。
## 漏洞原理
造成该漏洞的原因是在“后台>Office>Office转换设置”功能中,sofficePath参数的过滤不严格,导致恶意用户能够执行指定的shell脚本。
## 漏洞复现
看到soffice可填写绝对路径,考虑是否有文件包含或者路径穿越;
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
通过路径定位至源码文件,但由于加密无法进行代码审计:
zentaopms/extension/biz/custom/ext/control/libreoffice.php
zentaopms/extension/max/custom/ext/control/libreoffice.php
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
假设在/tmp下给定一个有执行权限的shell脚本:tmp.sh,尝试看是否执行:
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
将soffice路径值指定为/tmp/tmp.sh时,该脚本执行结果如下:
-->旗舰版4.7
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
-->企业版8.7
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
另外还测试了下是否可以执行其他命令,应该是都可以的,但是没回显,就不详细论述啦~~
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
## 总结
利用难度还是很苛刻的,需要登录系统且服务器本身就有可执行的shell脚本,但是能用的话威胁程度也是较高的。
总之~喜提CVE一枚
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
![禅道后台命令注入漏洞(CVE-2023-44827)]( "禅道后台命令注入漏洞(CVE-2023-44827)")
原文始发于微信公众号(Hack All):禅道后台命令注入漏洞(CVE-2023-44827)
评论