騰曜網路科技 原始碼洩露&文件揭露&密碼洩漏等漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00828
  •  發信 Vendor: 騰曜網路科技
  • Title: 騰曜網路科技 原始碼洩露&文件揭露&密碼洩漏等漏洞
  • Introduction: 存取控制缺陷導致的大量問題

處理狀態

目前狀態

公開
Last Update : 2024/10/08
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2024/07/27 03:59:00 : 新提交 (由 DL56 更新此狀態)
  • 2024/07/29 16:46:55 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:44:04 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:44:04 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:44:04 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/26 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
  • 2024/10/07 17:06:47 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/10/07 17:29:35 : 確認已修補 (由 DL56 更新此狀態)
  • 2024/10/08 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00828
  • 通報者:dinlon5566 (DL56)
  • 風險:嚴重
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://neithnet.com/
https://www.neithnet.com/
https://blog.neithnet.com/

敘述

原始碼洩露

訪問 https://neithnet.com/ 時發現 https://neithnet.com/.git/config 可以存取,順便測試 https://www.neithnet.com/' 與 'https://blog.neithnet.com/ 皆出現 git leak問題

使用 git-dumper 可以下載原始碼。

git-dumper https://blog.neithnet.com/ neithnet-blog
git-dumper https://neithnet.com/ neithnet-main

圖片
檢閱資料發現 neithnet.com 為使用自開發 PHP 網頁,blog.neithnet.com 使用 wordpress 6.0.3。

文件揭露

進入網頁的資料夾路徑可以直接訪問目錄:
圖片
在 neithnet-main 資料夾內發現 .gitignore 忽略文件 :

<SNIP>
neithnet-form.log
nnadmin/neithnet.db
<SNIP>

直接訪問 neithnet-form.log 與 nnadmin/neithnet.db 可以得到資料庫與記錄檔,存在操作紀錄與客戶諮詢資料。且記錄程式中包含文件絕對路徑: '/home/{主機名稱}/public_html/neithnet-form.log'

連結:
https://neithnet.com/nnadmin/neithnet.db
https://neithnet.com/neithnet-form.log

圖片
圖片

密碼洩漏

neithnet.com/nnadmin/function_nnadmin.php 中包含登入驗證的演算法,其中帳密被硬編碼在裡面可以直接看到。
圖片

neithnet.com/PHPMailerWithGmailApi/mail-test.php 中包含金鑰歸屬帳號與 Google Mail API 管理頁面連結,不過存取需要金鑰故屬於資訊洩漏。
圖片

Wordpress 設定疏失

透過洩漏原始碼發現可以訪問 xmlrpc.php
https://blog.neithnet.com/xmlrpc.php?rsd

發送以下封包,可以發現收到的回應中包含 metaWeblog.getUsersBlogs 功能,可以利用此功能進行無等待時間暴力攻擊,進行用戶枚舉後發現與主機相同名稱用戶與其他用戶。
圖片

POST /xmlrpc.php HTTP/1.1
Host: blog.neithnet.com
Content-Length: 131

<?xml version="1.0" encoding="utf-8"?>
<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

修補建議

配置 Web 伺服器禁止訪問 .git 目錄及其文件。
定期審查網站設置,確保無法直接訪問敏感文件。
禁止目錄列出功能,防止未授權訪問文件目錄。
移動或加密敏感文件,並確保這些文件不會被公開訪問。
將敏感的認證憑證移出原始碼,使用環境變數或安全配置文件來管理這些資料。並審查和更新所有硬編碼的敏感資料,確保不再暴露於原始碼中。
禁用不必要的 XML-RPC 功能,或是使用防火牆規則來限制對 xmlrpc.php 的訪問。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;