Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2021-00781
- 發信 Vendor: 國立中央大學
- Title: 中央大學eeclass系統 from harmless IDOR and information leakage to SSRF to LFI
- Introduction: as title
處理狀態
目前狀態
公開
Last Update : 2021/12/29
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2021/10/29 13:53:32 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
- 2021/10/29 17:12:26 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
- 2021/10/29 17:22:27 : 新提交 (由 wqwfeoipwqjfpwiejfdpioqweoifjqwf 更新此狀態)
- 2021/10/29 22:37:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/11/02 15:51:11 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/11/02 15:51:11 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/11/02 15:51:11 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/12/29 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2021-00781
- 通報者:lebr0n_li (wqwfeoipwqjfpwiejfdpioqweoifjqwf)
- 風險:中
- 類型:Server-Side Request Forgery (SSRF)
參考資料
暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://ncueeclass.ncu.edu.tw/media/showPrintNote
敘述
今天看線代影片看到很無聊,突然發現筆記功能有個轉pdf的功能,ctf蠻常出跟pdf service有關的題目,所以就被吸引進去了
按下匯出pdf之後再使用預覽功能,可以看到下載pdf的功能
下載下來可以根據pdf的一些metadata,發現用的是wkhtmltopdf
這種網頁轉pdf的工具,常常都會有SSRF之類的問題,但這裡除了普通http和https的SSRF,還可以LFI!
根據wkhtmltopdf 的Github issue,若是沒有開啟--disable-local-file-access ,會有LFI的風險
但要怎麼放iframe進去來SSRF呢?
可以發現,筆記功能和個人資料的功能類似,唯一的差別是沒有在選單欄提供插入iframe的功能
但實際上,這裡有個IDOR,若是在送出request時插入iframe,還是可以使用iframe的功能
所以修改一下request
成功插入一個iframe
所以只需要在iframe裡放進一個可以302跳轉到file://的網站網址,之後再次使用下載pdf的功能,即可任意讀檔 (e.g. /etc/passwd and some config files)
(這裡可以用以下的php來架一個簡單的demo:)
<?php
header('location:file:///etc/passwd ');
?>且又因為正常使用下載pdf的功能時,會洩漏出的絕對路徑,所以可以藉此讀到網站的config.php,並拿到root的db帳密!
後來就沒繼續試下去了,有什麼問題或疑慮,請再聯絡我!
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。