Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-00143
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 多所學校網頁存在RCE漏洞
- Introduction: 任意檔案上傳
處理狀態
目前狀態
公開
Last Update : 2024/06/01
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2024/03/09 18:47:15 : 新提交 (由 xiulan 更新此狀態)
- 2024/03/10 09:21:00 : 新提交 (由 xiulan 更新此狀態)
- 2024/03/10 12:57:08 : 新提交 (由 xiulan 更新此狀態)
- 2024/03/10 19:30:47 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/03/13 17:47:02 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/03/13 17:47:02 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/09 03:00:12 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2024/05/15 13:20:43 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/15 13:20:50 : 轉報至合作單位 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/17 14:46:50 : 複測申請中 (由 組織帳號 更新此狀態)
- 2024/05/28 20:27:10 : 確認已修補 (由 xiulan 更新此狀態)
- 2024/06/01 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2024-00143
- 通報者:xiulan (xiulan)
- 風險:嚴重
- 類型:任意檔案上傳 (Arbitrary File Upload)
參考資料
攻擊者可上傳任意檔案至該主機,有機會經由上傳之文件取得該主機系統權限。
漏洞說明: OWASP - Unrestricted File Upload
https://www.owasp.org/index.php/Unrestricted_File_Upload
漏洞說明: CWE-434: Unrestricted Upload of File with Dangerous Type
https://cwe.mitre.org/data/definitions/434.html
漏洞說明: OWASP - Unrestricted File Upload
https://www.owasp.org/index.php/Unrestricted_File_Upload
漏洞說明: CWE-434: Unrestricted Upload of File with Dangerous Type
https://cwe.mitre.org/data/definitions/434.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://www.tssh.ntpc.edu.tw/
http://www.lygsh.ilc.edu.tw/
http://www.ylsh.ilc.edu.tw/
http://www.ilvs.ilc.edu.tw/
http://www.ltcvs.ilc.edu.tw/
http://www.savs.ilc.edu.tw/
http://www.clhs.tyc.edu.tw/
http://www.fxsh.tyc.edu.tw/
http://www.dxhs.tyc.edu.tw/
http://www.ymhs.tyc.edu.tw/
http://www.ymsh.hcc.edu.tw/
http://www.mlsh.mlc.edu.tw/
http://www.cnsh.mlc.edu.tw/
http://www.mlvs.mlc.edu.tw/
http://www.dali.tc.edu.tw/
http://www.ivyjhs.tc.edu.tw/
http://www.cycivs.tc.edu.tw/
http://www.hwhs.tc.edu.tw/
http://www3.hwsh.tc.edu.tw
http://www.yjvs.chc.edu.tw/
http://www.elvs.chc.edu.tw/
http://www.ssivs.chc.edu.tw/
http://www.pthc.chc.edu.tw/
http://www.ntsh.ntct.edu.tw/
http://www.cshs.ntct.edu.tw/
http://www.pshs.ntct.edu.tw/
http://www.ravs.ntct.edu.tw/
http://www.pntcv.ntct.edu.tw/
http://www.ttvs.ntct.edu.tw/
http://www.slvs.ntct.edu.tw/
http://www.tlhc.ylc.edu.tw/
http://www.sfsh.tn.edu.tw/
http://www.hhsh.tn.edu.tw/
http://www.hhvs.tn.edu.tw/
http://www.ptivs.tn.edu.tw/
http://www.twivs.tn.edu.tw/
http://www.fssh.khc.edu.tw/
http://www.ptgsh.ptc.edu.tw/
http://www.pths.ptc.edu.tw/
http://www.npvs.ptc.edu.tw/
http://www.ptivs.ptc.edu.tw/
http://www.ctvs.ptc.edu.tw/
http://www.tkms.ptc.edu.tw/
http://www.tgsh.ttct.edu.tw/
http://www.tscvs.ttct.edu.tw/
http://www.hlbh.hlc.edu.tw/
http://www.swsh.hlc.edu.tw/
http://www.tcsh.hlc.edu.tw/
http://www.klcivs.kl.edu.tw/
http://www.hgsh.hc.edu.tw/
http://www.hccvs.hc.edu.tw/
http://itcgs.tcgs.tc.edu.tw/
http://www.cyvs.cy.edu.tw/
http://www.sssh.tp.edu.tw/
http://www.cogsh.tp.edu.tw/
http://mars.yucsh.tp.edu.tw/
http://www.nkhs.tp.edu.tw/
https://www.kshs.tp.edu.tw/
http://www.kghs.kh.edu.tw/
http://www.hkhs.kh.edu.tw/
http://www.kmsh.km.edu.tw/
http://www.kmvs.km.edu.tw/
http://www.lygsh.ilc.edu.tw/
http://www.ylsh.ilc.edu.tw/
http://www.ilvs.ilc.edu.tw/
http://www.ltcvs.ilc.edu.tw/
http://www.savs.ilc.edu.tw/
http://www.clhs.tyc.edu.tw/
http://www.fxsh.tyc.edu.tw/
http://www.dxhs.tyc.edu.tw/
http://www.ymhs.tyc.edu.tw/
http://www.ymsh.hcc.edu.tw/
http://www.mlsh.mlc.edu.tw/
http://www.cnsh.mlc.edu.tw/
http://www.mlvs.mlc.edu.tw/
http://www.dali.tc.edu.tw/
http://www.ivyjhs.tc.edu.tw/
http://www.cycivs.tc.edu.tw/
http://www.hwhs.tc.edu.tw/
http://www3.hwsh.tc.edu.tw
http://www.yjvs.chc.edu.tw/
http://www.elvs.chc.edu.tw/
http://www.ssivs.chc.edu.tw/
http://www.pthc.chc.edu.tw/
http://www.ntsh.ntct.edu.tw/
http://www.cshs.ntct.edu.tw/
http://www.pshs.ntct.edu.tw/
http://www.ravs.ntct.edu.tw/
http://www.pntcv.ntct.edu.tw/
http://www.ttvs.ntct.edu.tw/
http://www.slvs.ntct.edu.tw/
http://www.tlhc.ylc.edu.tw/
http://www.sfsh.tn.edu.tw/
http://www.hhsh.tn.edu.tw/
http://www.hhvs.tn.edu.tw/
http://www.ptivs.tn.edu.tw/
http://www.twivs.tn.edu.tw/
http://www.fssh.khc.edu.tw/
http://www.ptgsh.ptc.edu.tw/
http://www.pths.ptc.edu.tw/
http://www.npvs.ptc.edu.tw/
http://www.ptivs.ptc.edu.tw/
http://www.ctvs.ptc.edu.tw/
http://www.tkms.ptc.edu.tw/
http://www.tgsh.ttct.edu.tw/
http://www.tscvs.ttct.edu.tw/
http://www.hlbh.hlc.edu.tw/
http://www.swsh.hlc.edu.tw/
http://www.tcsh.hlc.edu.tw/
http://www.klcivs.kl.edu.tw/
http://www.hgsh.hc.edu.tw/
http://www.hccvs.hc.edu.tw/
http://itcgs.tcgs.tc.edu.tw/
http://www.cyvs.cy.edu.tw/
http://www.sssh.tp.edu.tw/
http://www.cogsh.tp.edu.tw/
http://mars.yucsh.tp.edu.tw/
http://www.nkhs.tp.edu.tw/
https://www.kshs.tp.edu.tw/
http://www.kghs.kh.edu.tw/
http://www.hkhs.kh.edu.tw/
http://www.kmsh.km.edu.tw/
http://www.kmvs.km.edu.tw/
敘述
0. 漏洞原理
此漏洞原理基於我上次通報的漏洞
在當初尋找漏洞時 有遇到upload_file.php為403的狀況
此漏洞忽略403狀態碼,且幾乎存在所有ischool系統上
1. 漏洞發現
重複閱讀上次找到的開源github
把所有page遍歷一次
打到/client/demo.htm的時候發現漏洞
2. demo
進入頁面
一開始隨便上傳
感覺卡住了 開f12看
發現他對./do-nothing.htm發出請求意識到這個function只是測試用
嘗試修改function
他的function直接寫在html裡面 嘗試修改
先嘗試把action的path改成../upload_file.php
但回應No value uploadfolder specified!
根據上次的經驗 增加一個參數{"upload":"./"}
回頭尋找./client/fileuploader.js
Ctrl+F搜尋
發現qq.FileUploader似乎是引用了qq.FileUploaderBasic為基礎
發現關鍵字params嘗試將function修改為下圖
- 漏洞問題
一開始以為是只把GET關掉 POST沒關 結果不是
用burpsuite測試後 得出判斷依據為Referer
當
Referer為https://w3.tcivs.tc.edu.tw/(攻擊的網域)及其路徑下所有檔案/路徑時得到status code 200
修補建議
移除不必要的網頁
部分網頁可能被上傳1.txt 內容為1
請協助刪除
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。