禅道项目管理系统 身份验证漏洞分析QVD-2024-15263

2024-05-04 14:44

本文主要是介绍禅道项目管理系统 身份验证漏洞分析QVD-2024-15263,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 前言

        最近不怎么更新了!向小伙伴说明下 我不是什么组织 更不什么经销号(尽管csdn有很多经销广告号)
        一确实是下岗了!忙着为找工作而发愁。简历都投出去如同石沉大海能不愁吗!.哎......
        二是忙着论文及材料的事....
        三是也看了最近的漏洞,感觉也没啥可分析的 一眼就看出问题所在。 有什么可分析的呢!就像医生看看患者如同看萝卜白菜一样.....,
        那分析反序列化链呢,这也没什么意思啊!

        话说到此,今儿个就推荐你看这篇文章。有一定难度挑战度,内容还是跟以前一样,以一个挖洞者的视角来讲解分析。逻辑绝对保证逻辑,绝对给你分析的明明白白的前后贯彻........

漏洞信息

参考链接

https://github.com/easysoft/zentaopms/commit/695055c6b1d2e6a8c944bdbc38308c06820c40ce

根据网上纰漏的信息及作者补救的代码来看,我们不难看出只要app拥有对象user就可以绕过某种限制。

 后续的更正代码则是进一步判断user对象中的account。既然是漏洞就代表着判断user一定存在某种问题。

漏洞分析

我们先分析一波,谁的执行流程会经过这行验证。

因为这段代码逻辑在类的构造方法中,我们右键点击entery -> Find Usages

着api\v1\entries 这个目录下的类 似乎都继承了entry,

我们挑一个敏感的 usersEntry

为什么说usersEntry比较敏感呢,因为他的类中有一个函数POST,这个函数似乎可以创建用户账号。

这个之后再用 Find Usages ,就没有结果了。但着不意味着没有函数去调用它。

这里我给大家提供几种思路,

一是利用框架的特点,看看我们是否可以调用匹配路由规则的函数。

二是寻找用户可以控制的点,这类往往是参数进行反射调用,或者类似与call_user_func_array这样的函数去调用某个方法。

着api这个类中我们就找到了这样的线索,call_user_func_array() 后面似乎也是我们想要的enter。

分析下上面的逻辑;$entry = new $entryName(); 而 $entryName 是api的成员entry+"Entry" 得来的,

也就是说得让api 的成员值为users。另外也需将api的成员action为post 。这才能去调用usersEntry的post方法

根据这几个线索,我们继续Find Usages --> loadModule,找到一个比较上层的。

非常好这个算是入口点了,最好在验证下api.php我们是否可以访问这个文件。

 接下在就重点分析下,app下的user对象的限制,与api的entry成员是否可控。

1,先分析成员entry何时被赋值

entry由传来的$target赋值,需继续向上分析。我们也意外看到了action的 strtolower($_SERVER['REQUEST_METHOD']);完美这个我们刚刚好可以控制这个变量为post,只需前端发起post请求就好了。

右键route Find Usages

这个parseRequest() 正好也是api.php调用而来的

 

parseRequest()方法中,是this->config->routes传进入的,似乎是不可控的变量的。

但回到route方法中,你仔细分析$target变量,就会发现其实成员entry一定程度上是可控的

path这个成员实在api的构造方法中被赋值的。(随便提示下来接下来的处理中version被path赋值,这个也是执行条件之一)

右键this->path Find Usages  

那么this->config->routes有关键字user吗?看下图,有的!

$entry与action已经分析完毕 ,这俩都有机会可控,去执行usersEntry的post方法。  

接下来重点分析绕过这个限制

if(!isset($this->app->user) or $this->app->user->account == 'guest') throw EndResponseException::create($this->sendError(401, 'Unauthorized'));

如何才能让app对象(api类)有user成员呢?

既然我们的入口点是api.php,那么我们着重分析下api.的执行流程查看app->user合适能过被赋值  

在loadCommon中找到了点线索

在extCommonModel();的构造方法中,有一个方法setUser  

 app->可以有session对象的user成员赋值,条件是session有这个成员即可。这个可以当作利用之一

分析这个利用的可能,在创建api对象时会走到baseRouter的构造方法中(继承关系走的 ),有setSuperVars方法  

但是我们并没有找到user被赋值的逻辑

session的作用就在于多个请求是连续的,这样就促使我们可以多发请求,以找到让session中拥有user的可能

。。。。

这里有一个deny方法,分析里面的逻辑这里涉及到对相关字段的赋值  

$this->app 没有对象$user 会怎样?

$user会被创建=null吗?之后$user->的成员rights,groups,admin会被创建吗?

但凡user对象被创建起来,后面就会被赋值给session 这个已经足够我们进行利用的条件了。

那么下面分析如何才能去调用这串代码。commonModel的deny方法

右键deny Find Usages

这个虽然可以调用deny方法但是需要this->app->user, 这个显然我们是没有的,我们调用deny的目的也是要拥有user对象。

之后的一样没有结果了,我们只能再次把期望寄托于 类似于参数反射调用,或者类似于call_user_func_array这样的函数去调用某个方法。

还记得之前loadModule模块吗?,有version字段的调用enter的某方法。那么没有version会不会也执行call_user_func_array调用某方法呢

跟入到父类的loadModule中去,最终来到这里,果然有call_user_func_array的调用

分析下module与methodName是怎么传来的,是否为可控变量。

继续分析$moduleName变量,

继续分析moduleName的赋值(这几次搜索结果,都要靠近router因为api类继承的它,比较可能有一条调用链)  

这里有两种可能,一个是GET方式,一个是Pathinfo方式

选择GET方式进行分析,

this->config->moduleVar与$this->config->methodVar两个变量是m 与 f

api.php?m=commonModel&f=deny 直接这样干,行不行?

后续调试中发现,这点不好绕过

deny不在开放方法中啊,

现在只能希望与这里开放的方法中找可以调用deny的(且是commonModel类有继承关系的)

.................,一番对比 终于在testcase中发现了saveXmindImport有deny的方法的调用

且common是继承commonModel类的,非常好就是我们想要的结果。

 

以这样的payload 打过去/zentaopms/www/api.php?m=testcase&f=savexmindimport。

后端调试发现并程序没有进入deny方法中,回头检查一下

经过一番观察分析,发现在testcase的构造方法中,有下面验证限制,

绕过也很简单,要么$products查的存在,要么前端是一个ajax请求

我们只需这样就可以是ajax请求了

ok这样就进入deny了

漏洞验证
GET /zentaopms/www/api.php?m=testcase&f=savexmindimport&HTTP_X_REQUESTED_WITH=XMLHttpRequest HTTP/1.1
Host: localhost
sec-ch-ua: "Chromium";v="119", "Not?A_Brand";v="24"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.105 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-cn; vision=rnd; device=desktop; theme=default; preProductID=1; preBranch=0; preExecutionID=1; lastProject=7; goback=%7B%22admin%22%3A%22http%3A%5C%2F%5C%2Flocalhost%5C%2Fzentaopms%5C%2Fwww%5C%2Findex.php%3Fm%3Dcompany%26f%3Dbrowse%22%7D;XDEBUG_SESSION=14117
Connection: close

此时返回的cookie() 与之关联的session时经过deny方法处理过的是由user的。

现在开始创建用户账号的验证

POST /zentaopms/www/api.php/v1/users HTTP/1.1
Cookie: zentaosid=bk2fnh0asopgj78jvkc7klu2m4;XDEBUG_SESSION=
Host: localhost
Content-Length: 93{"account": "66test", "password": "Test123", "realname": "Test", "role": "top", "group": "1"}

此时后端调试也发现进入了usersEntry中的post方法且创建了用户账号

接下来登录验证一下

66test:Test123

没问题成功登录了上去。   

感谢看到这里,有什么没有看明白的欢迎评论区留言,另外点点小赞   在此谢过了.........

 

这篇关于禅道项目管理系统 身份验证漏洞分析QVD-2024-15263的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/959442

相关文章

Go标准库常见错误分析和解决办法

《Go标准库常见错误分析和解决办法》Go语言的标准库为开发者提供了丰富且高效的工具,涵盖了从网络编程到文件操作等各个方面,然而,标准库虽好,使用不当却可能适得其反,正所谓工欲善其事,必先利其器,本文将... 目录1. 使用了错误的time.Duration2. time.After导致的内存泄漏3. jsO

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加

tomcat多实例部署的项目实践

《tomcat多实例部署的项目实践》Tomcat多实例是指在一台设备上运行多个Tomcat服务,这些Tomcat相互独立,本文主要介绍了tomcat多实例部署的项目实践,具有一定的参考价值,感兴趣的可... 目录1.创建项目目录,测试文China编程件2js.创建实例的安装目录3.准备实例的配置文件4.编辑实例的

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

springboot集成Deepseek4j的项目实践

《springboot集成Deepseek4j的项目实践》本文主要介绍了springboot集成Deepseek4j的项目实践,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价... 目录Deepseek4j快速开始Maven 依js赖基础配置基础使用示例1. 流式返回示例2. 进阶

SpringBoot项目启动报错"找不到或无法加载主类"的解决方法

《SpringBoot项目启动报错找不到或无法加载主类的解决方法》在使用IntelliJIDEA开发基于SpringBoot框架的Java程序时,可能会出现找不到或无法加载主类com.example.... 目录一、问题描述二、排查过程三、解决方案一、问题描述在使用 IntelliJ IDEA 开发基于

SpringBoot项目使用MDC给日志增加唯一标识的实现步骤

《SpringBoot项目使用MDC给日志增加唯一标识的实现步骤》本文介绍了如何在SpringBoot项目中使用MDC(MappedDiagnosticContext)为日志增加唯一标识,以便于日... 目录【Java】SpringBoot项目使用MDC给日志增加唯一标识,方便日志追踪1.日志效果2.实现步

C++ 各种map特点对比分析

《C++各种map特点对比分析》文章比较了C++中不同类型的map(如std::map,std::unordered_map,std::multimap,std::unordered_multima... 目录特点比较C++ 示例代码 ​​​​​​代码解释特点比较1. std::map底层实现:基于红黑