國立馬公高級中學貴菊紀念圖書館 LFI導致phpmyadmin登入(root)

Vulnerability Overview

ZDID: ZD-2018-00942
發信 Vendor: TACERT台灣學術網路危機處理中心
Title: 國立馬公高級中學貴菊紀念圖書館 LFI導致phpmyadmin登入(root)
Introduction: LFI

處理狀態

目前狀態

公開

Last Update : 2018/09/02

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2018/07/03 20:33:28 : 新提交 (由 Time Limit Exceed 更新此狀態)
2018/07/03 20:47:38 : 新提交 (由 Time Limit Exceed 更新此狀態)
2018/07/03 20:53:00 : 新提交 (由 Time Limit Exceed 更新此狀態)
2018/07/03 20:58:56 : 新提交 (由 Time Limit Exceed 更新此狀態)
2018/07/03 20:59:32 : 新提交 (由 Time Limit Exceed 更新此狀態)
2018/07/04 23:26:05 : 新提交 (由 Time Limit Exceed 更新此狀態)
2018/07/05 00:35:05 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/07/05 23:49:29 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/07/05 23:49:29 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/09/02 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2018-00942
通報者：lee030792 (Time Limit Exceed)
風險：中
類型：本地檔案引入 (Local File Inclusion, LFI)

參考資料

攻擊者可經由該漏洞取得後端系統檔案及網站程式原始碼等敏感資料。

漏洞說明： OWASP - Testing for Local File Inclusion
https://www.owasp.org/index.php/Testing_for_Local_File_Inclusion

Wikepedia 漏洞說明：
https://en.wikipedia.org/wiki/File_inclusion_vulnerability

OWASP Top 10 2007 - Malicious File Execution
https://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

1.Local File Inclusion 讓攻擊者能下載主機裡不該被外人存取的檔案，包括用來連結 sql server 的php檔。

2.網站內有phpmyadmin，攻擊者能夠根據php config檔登入，且可能完全控制伺服器

(get shell~~傷口細菌感染破傷風截肢的概念~~)。

3.另外，我看到使用者的密碼完全沒有hash(哈希)過，請哈希一下嘛，拜託摟。(恕不提供照片)

ps:沒hash過的地方(小聲)database:mksh_lib的table:member的column:m_pass

修補建議

最佳解:(很麻煩，但一分錢一分貨)
如果可以的話，請勿允許直接附加文件路徑(就是一個個列出來make <a herf ............................之類的)
---
次要解:
如果堅持一定要動態路徑連接，請確保您只接受所需的字，例如“a-Z"和"0-9”。
並且不允許“..”或“/”或“％00”（空字節）或任何其他類似的爭議性字符。

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

國立馬公高級中學貴菊紀念圖書館 LFI導致phpmyadmin登入(root) - HITCON ZeroDay

Vulnerability Detail Report