[Bounty] 台灣電力公司遠端執行程式碼 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2022-00175
  •  發信 Vendor: 台灣電力公司
  • Title: [Bounty] 台灣電力公司遠端執行程式碼
  • Introduction: 任意上傳拿 shell

處理狀態

目前狀態

公開
Last Update : 2022/05/28
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2022/02/27 08:17:51 : 新提交 (由 鯊鯊好可愛ㄛ 更新此狀態)
  • 2022/03/01 10:43:24 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/04/25 09:30:58 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/05/10 09:35:36 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/05/28 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2022-00175
  • 通報者:ev4n5 (鯊鯊好可愛ㄛ)
  • 風險:嚴重
  • 類型:程式碼執行 (Code Execution)

參考資料

攻擊者可藉由此漏洞執行惡意程式碼,進行如操縱網站作業系統等惡意行為。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://ism.taipower.com.tw/
https://ism.taipower.com.tw/InMember/ddlmember
https://ism.taipower.com.tw/Message/Create

敘述

  1. 首先進行目錄爆破
    圖片
  2. 發現有多個功能有存取控制缺陷,可以訪問並執行後台功能
    https://ism.taipower.com.tw/contract
    https://ism.taipower.com.tw/message
    https://ism.taipower.com.tw/log
    https://ism.taipower.com.tw/uploads
    https://ism.taipower.com.tw/register
    可能還有更多
    圖片
    圖片
  3. 發現洩漏的功能皆使用 ajax 執行 api 請求執行操作,經過測試後發現多隻 api 洩漏敏感訊息
    https://ism.taipower.com.tw/InMember/ddlmember (洩漏全部系統帳號)
    https://ism.taipower.com.tw/InMember/ddlmember2 (可以查詢系統帳號)
    https://ism.taipower.com.tw/Organization/changddllevel2 (可以查詢單位id)
    https://ism.taipower.com.tw/Organization/changddllevel3 (可以查詢單位id)
    https://ism.taipower.com.tw/Organization/changddllevel1all (洩漏全部單位id)
    圖片
    圖片
    這邊全部都是從 ajax 挖出來的

3.嘗試弱密碼登入
圖片
嘗試使用 test、P@ssw0rd、taipower、同帳號密碼進行弱密碼登入測試
發現大量承攬商帳號密碼皆使用相同帳號及密碼

4.在後台上傳點嘗試上傳 web shell
使用兩隻弱密碼帳號,並透過修改上傳 hdmemid 參數,達到任意發訊息給任意使用者
圖片
圖片
發現該檔案會上傳到 https://ism.taipower.com.tw//upload//20220227/062200/檔案名稱
嘗試修改上傳檔案名稱繞過驗證並上傳 web shell
圖片

  1. 使用 web shell 打 reverse shell 回來
    圖片

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;