國立中山大學 查詢功能存取控制失效及衍生帳密外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00710
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 國立中山大學 查詢功能存取控制失效及衍生帳密外洩
  • Introduction: 查詢功能存在存取控制失效,衍生全校學生帳密外洩、密碼加密法與非正常邏輯登入驗證

處理狀態

目前狀態

公開
Last Update : 2024/08/20
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2024/06/23 23:04:46 : 新提交 (由 Friday_player 更新此狀態)
  • 2024/06/23 23:05:46 : 新提交 (由 Friday_player 更新此狀態)
  • 2024/06/25 07:47:49 : 新提交 (由 Friday_player 更新此狀態)
  • 2024/06/27 17:57:59 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/10 16:42:17 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/10 16:42:17 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/10 16:42:17 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/11 17:11:53 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/11 17:14:09 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/11 17:14:58 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 09:19:04 : 已修補 (由 組織帳號 更新此狀態)
  • 2024/08/20 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00710
  • 通報者:Fridayer (Friday_player)
  • 風險:嚴重
  • 類型:不安全的直接存取物件 (Insecure Direct Object References, IDOR)

參考資料

攻擊者可經由該漏洞取得系統中的其他使用者的資料或是系統檔案。

OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

Insecure Direct Object Reference Prevention Cheat Sheet
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.md

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://sis.nsysu.edu.tw/acad_link/acad_link_sco.php?STUID=TTk0MzAxMDA0NQ==&GPID=
https://selcrs.nsysu.edu.tw/scoreqry/sco_query.asp?action=1&ssn1=STUID&STUID=M943010045&ssn2=NAME&NAME=%BBp%B5%BD%A6%A8&tm=&pkind=T&random_num=
https://mcc-tdc.nsysu.edu.tw/SSOAppliedRecordForStudent.aspx?stuid=M943010045&stat_cod=6&ENC_PWD=Qhd4EiFakuoa2bfWGheH6A==
https://fms-oga.nsysu.edu.tw/login
https://fms-oga.nsysu.edu.tw/lib/sso/md5.js
https://mcc-tdc.nsysu.edu.tw/SSOAppliedRecordForStudent.aspx?stuid=B104030010&stat_cod=1&ENC_PWD=3M+NEmPRNr2A5NOheoqVZw==
https://assist.nsysu.edu.tw/assistant/
https://payroll.nsysu.edu.tw/pay/

敘述

  1. 透過使用學號(M943010045)轉換成Base64值(TTk0MzAxMDA0NQ==)後,無須登入即可存取學生成績資訊。

  2. 發現STUID參數,可用SQL語法進行Base64轉換,即可嘗試SQL INJECTION,圖系統錯誤訊息彈出得到資料庫與資料表的名稱與STUID對應資料表欄位名稱(USER_ID)。

  3. 從成績查詢功能中發現微學分學程,發現學生的選課帳號和密碼,依學號即可存取成績查詢下,可獲得該校所有學生帳密。
    https://mcc-tdc.nsysu.edu.tw/SSOAppliedRecordForStudent.aspx?stuid=M943010045&stat_cod=6&ENC_PWD=Qhd4EiFakuoa2bfWGheH6A==

    • M943010045 / Qhd4EiFakuoa2bfWGheH6A==
      圖片

  4. 透過選課系統維護者所在的單位,嘗試從其他維護系統中發現「財產資訊管理系統」有前端加密法。

  5. 經驗證確實使用類似base64加密法(base64_md5),且嘗試破解該學號密碼,發現該學長用姓疊字「裴(pei)」作為密碼。

    • M943010045 / peipei
      圖片

  6. 由於M943010045為2005年入學(19年前)已經有點年份,幾乎無大部分系統權限,因此改具有微學分學分的同學(B104030010)。

  7. 發現使用微學分連結可直接獲得登入完成權限,確認SESSIONID一致。

其他發現及風險

  1. 在嘗試加密密碼過程中,發現「請領各類所得管理系統」、「兼任助理系統」、「財產系統」等可以用獲得的加密密碼登入。
    圖片
    圖片

總結由選課系統的成績查詢衍生一系列問題

  1. 本次外洩個資涵蓋學號、姓名、系別、學生個人成績、學生帳密。
  2. 透過成績查詢中的微學分學程,可獲得全校學生帳密清單。
  3. 多項系統登入失控。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;