今周刊目錄瀏覽導致原始碼洩漏、檔案任意上傳、弱密碼

Vulnerability Overview

ZDID: ZD-2019-00898
發信 Vendor: 今周刊
Title: 今周刊目錄瀏覽導致原始碼洩漏、檔案任意上傳、弱密碼
Introduction: 目錄瀏覽導致原始碼洩漏、檔案任意上傳、弱密碼

處理狀態

目前狀態

公開

Last Update : 2019/10/26

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2019/08/26 22:42:46 : 新提交 (由 SomeApple 更新此狀態)
2019/08/26 22:45:40 : 新提交 (由 SomeApple 更新此狀態)
2019/08/26 22:46:13 : 新提交 (由 SomeApple 更新此狀態)
2019/08/26 22:54:20 : 新提交 (由 SomeApple 更新此狀態)
2019/08/26 22:55:35 : 新提交 (由 SomeApple 更新此狀態)
2019/08/26 22:55:55 : 新提交 (由 SomeApple 更新此狀態)
2019/08/26 22:58:52 : 新提交 (由 SomeApple 更新此狀態)
2019/08/28 17:59:15 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/08/29 14:00:49 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/08/29 14:00:49 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/08/29 14:00:49 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2019/10/26 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2019-00898
通報者：jk82421 (SomeApple)
風險：嚴重
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

一進去網站就發現有 zip，載下來看之後有原始碼以及資料庫帳號密碼，且還有弱密碼

這張圖片帳號密碼為弱密碼 (這裡馬賽克掉)

再來發現 http://events.businesstoday.com.tw/elsa/hrm/server/fileupload/ 這個地方可以任意上傳檔案
重點 Payload 為以下
Content-Type: multipart/form-data
Data: files

上傳上去後發現有 disabled 一些重要的 function，所以無法存取 shell
但還是能透過 include 的方式取得其他地方 source code (php://filter)，甚至修改其他專案的 .htaccess 盡而存取本該不讓別人存取的地方 (phpmyadmin)

我已經有把我上傳的檔案給刪除了，目前看來還未被人發現此問題，建議儘速修改

修補建議

1. 檔案上傳問題: 建議使用 hash 檔名(包含副檔名) 的方式以及內容檢查的方式規避檔案上傳問題
2. 目錄瀏覽: 關閉目錄瀏覽功能，查查 apache / nginx 的 disable directory 的方式，或是限制只有內網可以存取目錄
3. 檔案備份: 建議檔案備份不要跟網站資料夾放置同一個地方，被猜到規則很容易載到原始碼
4. 弱密碼: phpmyadmin 設置為弱密碼，強烈建議改掉