學校綜合平台存在Unauthenticated SQL 注入漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2019-00333
  •  發信 Vendor: 台灣電腦網路危機處理暨協調中心(TWCERT/CC)
  • Title: 學校綜合平台存在Unauthenticated SQL 注入漏洞
  • Introduction: 學校綜合平台存在SQL Injection漏洞,攻擊者先繞過管理員登錄,再到內聯網管理裡選學生檔案可SQL INJECTION

處理狀態

目前狀態

公開
Last Update : 2019/07/17
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2019/04/17 07:28:10 : 新提交 (由 鄉民 更新此狀態)
  • 2019/04/17 08:21:16 : 新提交 (由 鄉民 更新此狀態)
  • 2019/04/17 16:05:21 : 新提交 (由 鄉民 更新此狀態)
  • 2019/04/17 21:54:17 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/18 13:34:44 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/18 13:34:44 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/19 18:00:13 : 轉報至合作單位 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/06/12 11:37:39 : 轉報至合作單位 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/06/12 11:37:41 : 轉報至合作單位 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/07/17 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2019-00333
  • 通報者:鄉民
  • 風險:嚴重
  • 類型:資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。

漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

eclass.ctsh.hcc.edu.tw
eclass.ntsh.ntpc.edu.tw
eclass.zlsh.tp.edu.tw
203.72.60.43
eclass.csps.tp.edu.tw
eclass.pmsh.tnc.edu.tw
eclass.tcgs.tc.edu.tw
163.24.168.64
eclass.hchs.hc.edu.tw
pluto.slps.tn.edu.tw
163.19.254.69
其他使用Eclass綜合平台的學校

敘述

簡短說明

在為其他學校做測試時發現Eclass 系列產品存在繞過驗証漏洞,攻擊者能用一個GETS request繞過輸入管理員密碼直接存取當中內容,直接存取管理員內容,而背後都是同一套服務系統在測試時全部Eclass系統都存在一樣的繞過問題,測試也發現Eclass存在SQL Injection漏洞

重現漏洞方式

Step1 :在eclass的網址欄鍵入/admin,例如 http://eclass.localhost/admin
Step2 :系統會要求用家輸入密碼,用Burp把請求攔下並改成GETS請求
Step3 :系統會重新導向至管理員版面,內面的版面都用GETS請求就能存取
Step4 :選內聯網管理,再選學生檔案後選檢視暫存已離校學生紀錄,選一班學生再按搜尋
Step5 :用Burp攔截請求,把請求用SQLMAP注入參數StudentID(http://eclass.localhost:80/admin/academic/studentview_left.php?generalYear=1&generalSem=&class=&StudentID=107)

影響

在非法存取的情況下,攻擊者可以讀取所有資料包括家長,學生,老師姓名住址,身份證號碼等敏感個資。

螢幕截圖

圖片

備註

截圖為POC,沒有讀取數據庫內容在為學校做測試時確認有這個漏洞

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;