中央大學LMS系統多處存在Stored-XSS漏洞

Vulnerability Overview

ZDID: ZD-2020-00640
發信 Vendor: 國立中央大學
Title: 中央大學LMS系統多處存在Stored-XSS漏洞
Introduction: stored-xss p.s 雖然無其他學校之帳號，但或許該系統的漏洞是通用的

處理狀態

目前狀態

公開

Last Update : 2020/09/21

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2020/07/22 01:08:30 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 01:09:44 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 01:10:17 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 01:11:11 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 01:26:05 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 09:12:11 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 09:12:27 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 10:41:51 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 11:22:26 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 19:00:30 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2020/07/22 22:40:06 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/07/24 12:34:31 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/07/24 12:34:31 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/07/24 12:34:31 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/09/21 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2020-00640
通報者：lebr0n_li (wqwfeoipwqjfpwiejfdpioqweoifjqwf)
風險：中
類型：預存式跨站腳本攻擊 (Stored Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份，或進行掛碼、轉址等攻擊行為。

漏洞說明： OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則：
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式：
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

今天終於找到小考成績公布在哪了QQ
找了好久XD
也順便看了一下LMS裡有什麼可控的物件
有關上傳之功能近乎全數無法使用QQ
沒能挖到什麼大洞，倒是有個XSS

第一個起疑的功能是“設備動態”
發現會紀錄User-Agent
先試試sqli，沒結果
於是burp截包，修改User-Agent嘗試xss
發現到會過濾script javascript onload alert 等等標籤與功能
最後使用iframe，以&Tab的方式可成功bypass
<iframe src=j&Tab;a&Tab;vas&Tab;cri&Tab;pt&Tab;:a&Tab;l&Tab;e&Tab;r&Tab;t&Tab;%28&Tab;doc&Tab;ume&Tab;nt&Tab;.&Tab;coo&Tab;kie&Tab;%29></iframe>
<iframe src=j&Tab;a&Tab;vas&Tab;cri&Tab;pt&Tab;:a&Tab;l&Tab;e&Tab;r&Tab;t&Tab;%28&Tab;doc&Tab;ume&Tab;nt&Tab;.&Tab;dom&Tab;ain&Tab;%29></iframe>

但這個xss毫無價值，沒什麼危害，什麼用都沒有......
故往個人帳號的公開訊息功能方向前進

從上一個漏洞點，可以猜想其他參數的過濾方式也存在相同漏洞
但多數帳號之公開訊息均有長度限制QQ

最後發現alert%28%29不過濾，alert()會過濾
javascript會過濾，javascript&Tab;不過濾

以此思路，就能構造出在長度限制內之payload
<iframe src=javascript&Tab;:alert%28document.cookie)></iframe>
<iframe src=javascript&Tab;:alert%28document.domain)></iframe>
基本上長度許可的資料填寫欄位，均存在xss漏洞

除了個人公開資料存在xss漏洞，blog功能也存在相同漏洞，payload相同。

最後只要在該課程的討論區功能，放上自己精心打造的個人帳號連結
e.g 歡迎大家認識我，我的個人資料連結：xxxxx blog連結 : xxxxx
誘使準備輸入成績的助教或教授點擊，然後把cookie悄悄偷過來..........
嘿嘿開玩笑的拉XD

但真的不無可能喔，建議儘早修補，以免未來遭有心學生利用

聲明：
本人點到為止並無惡意，免費漏洞檢測的目的是幫助企業、政府機關、學校防止資安問題
並在經驗中累積個人實力
並未利用漏洞深入，請相關單位放心
若有疑慮可立即透過組織帳號與我聯繫，本人願意接受一切合法調查