Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2018-00977
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 淡水國中教學檔案分享伺服器 Multiple Vulnerabilities
- Introduction: Multiple Vulnerabilities
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2018/07/14 20:27:32 : 新提交 (由 Hzllaga 更新此狀態)
- 2018/07/14 21:02:53 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/07/17 01:11:35 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/07/17 01:11:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/07/17 01:11:36 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/09/03 10:29:16 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/09/03 10:31:05 : 確認已修補 (由 Hzllaga 更新此狀態)
- 2018/09/07 03:00:01 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2018-00977
- 通報者:haihai (Hzllaga)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
相關網址
敘述
0x01 資料隱碼攻擊:
http://blog.tsjh.ntpc.edu.tw/pc/readnews.asp?newsid=10096
0x02 列目錄導致資料庫下載:
http://blog.tsjh.ntpc.edu.tw/pc/admin/data/tsjhpc2004.mdb
無法解密系統管理員密碼(內容管理員可解密) 可用找回密碼繞過
http://163.20.130.4/pc/admin/getpwd3.asp?username=admin
答案也是加密過的,通過提示可以知道4個字母的運動,很輕鬆就解密了:sw*m,名字資料庫可見,這邊可以直接重置密碼,就算了。
http://blog.tsjh.ntpc.edu.tw/blog/data/oblog4.mdb
oblog的系統,很簡單就解密了,版本4.0,可以在前台利用日誌修改封包修改達到getshell:
http://163.20.130.4/blog/tsjh/haihai/archives/2012/111.asp;.shtml
不過這邊有點問題,所以還是從後台下手,看了一下這個版本的限制,發現ashx,asmx,php等都可以上傳,走了點彎路拿到webshell:
http://blog.tsjh.ntpc.edu.tw/blog/UploadFiles/2018-7/root.aspx
D槽/E槽裡面有不少重要資料(包括專案那些什麼的)
0x03 G6 FTP Server權限提升:
伺服器存在Gene6 FTP Server,可以直接獲取到MD5加密後的密碼。
C:/Program Files/Gene6 FTP Server/RemoteAdmin/Remote.ini
Password=4EA7F267E123A*****2D1163079EB620
只有數字,很輕鬆就解密了。
方式呢,我前幾天有寫一篇文章:https://www.wtfsec.org/2561/geneftp-server-ti-quan-xiao-ji/
就能新建對C槽有所有權限的帳號了,我就不截圖了
差不多就這樣,沒繼續看了,然後其實web上還有很多有的沒的漏洞,我就懶得寫了,畢竟用了好幾套大陸的系統,漏洞基本上百度上搜尋就一大堆了,oblog裡面也有前人的足跡。
修補建議
怎麼說呢,基本上限制一下目錄權限就能阻止95%以上的攻擊了