Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2022-00536
- 發信 Vendor: 欣訊科技股份有限公司
- Title: 欣訊科技股份有限公司 網站存在 XSS to 原型汙染 與 任意文件上傳 to RCE
- Introduction: 網站存在 XSS to 原型汙染 與 任意文件上傳 to RCE
處理狀態
目前狀態
公開
Last Update : 2022/09/26
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2022/07/27 06:03:11 : 新提交 (由 BTtea 更新此狀態)
- 2022/07/27 06:04:12 : 新提交 (由 BTtea 更新此狀態)
- 2022/07/27 06:05:27 : 新提交 (由 BTtea 更新此狀態)
- 2022/07/27 12:22:28 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/08/01 16:45:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/08/01 16:45:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/08/01 16:45:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/09/26 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2022-00536
- 通報者:blacktea_player (BTtea)
- 風險:嚴重
- 類型:遠端命令執行 (Remote Code Execution)
參考資料
攻擊者可經由該漏洞取得主機完整權限、任意寫入檔案及取得大量內網資訊。
漏洞說明: OWASP - Code Injection
https://www.owasp.org/index.php/Code_Injection
漏洞說明: OWASP - Command Injection
https://www.owasp.org/index.php/Command_Injection
漏洞說明: CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
http://cwe.mitre.org/data/definitions/77.html
漏洞說明: CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
http://cwe.mitre.org/data/definitions/78.html
漏洞說明: OWASP - Code Injection
https://www.owasp.org/index.php/Code_Injection
漏洞說明: OWASP - Command Injection
https://www.owasp.org/index.php/Command_Injection
漏洞說明: CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
http://cwe.mitre.org/data/definitions/77.html
漏洞說明: CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
http://cwe.mitre.org/data/definitions/78.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://www.cenlink.com.tw/product-list.php
https://www.cenlink.com.tw/search.php
https://www.cenlink.com.tw/uploadfiles.php
https://www.cenlink.com.tw/search.php
https://www.cenlink.com.tw/uploadfiles.php
敘述
原型汙染成因為 jquery 版本過低所導致
https://www.cenlink.com.tw/product-list.php?class1=27&class2=68&id=68&pr_spec1=2&pr_spec2=&pr_spec3=5&pr_spec4=43&pr_spec5=184&pr_spec8=71
GET 參數 pr_spec1 , pr_spec2 , pr_spec3 , pr_spec4 , pr_spec5 , pr_spec8 存在 XSS 與原型汙染
xss payload : "><script>alert(document.cookie)</script>
xss to 原型汙染 PoC paylaod : "><script>$.extend(true,{},JSON.parse('{"__proto__":{"z":123'));alert(z);</script>https://www.cenlink.com.tw/search.php?keyword=1&num=2
GET 參數 keyword , num 存在 XSS 與原型汙染
xss payload : "><script>alert(document.cookie)</script>
xss to 原型汙染 PoC paylaod : "><script>$.extend(true,{},JSON.parse('{"__proto__":{"z":123'));alert(z);</script>- 任意文件上傳 to RCE
https://www.cenlink.com.tw/uploadfiles.php
在此路徑可以任意上傳任意文件,而上傳的文件位址依所選擇的種類不同而有所區別,我選擇了「股利分派情形」,然後上傳 webshell 之後,來到這個頁面 https://www.cenlink.com.tw/investment6.php ,在那個可以下載的PDF上查看他的html代碼,可以發現他的文件位址是在網站根目錄的 investment/investment6/ 底下,依此猜測腳本被上傳到這個位址,連到 https://www.cenlink.com.tw/investment/investment6/a.php 加上參數發現成功造成 RCE
無意義但不應該被存取的站點目錄可能導致資訊洩漏或其他危害
https://www.cenlink.com.tw/_notes/dwsync.xml (洩漏目錄實體路徑)
https://www.cenlink.com.tw/index.php/login/
https://www.cenlink.com.tw/mail.php
https://www.cenlink.com.tw/manual/index.html
https://www.cenlink.com.tw/stats/
https://www.cenlink.com.tw/upload.php (顯示上傳文件的結果)
https://www.cenlink.com.tw/uploadfiles.php (任意上傳文件)
https://www.cenlink.com.tw/web/
ps. 測試完畢後已將後門刪除
修補建議
更新 jquery 至最新版本
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。