Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-01011
- 發信 Vendor: 維新醫療社團法人台中維新醫院所有
- Title: 維新醫療社團法人台中維新醫院確認被駭
- Introduction: SQL注入、RXSS、任意檔案上傳、RCE等,發現許多後門程式,確定已經被駭。
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2024/08/29 11:33:15 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/29 20:57:49 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/29 21:17:35 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/30 01:34:39 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/30 02:56:44 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/30 20:01:22 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/30 20:44:28 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/30 23:04:37 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/08/31 02:48:59 : 新提交 (由 {{萌新}} 更新此狀態)
- 2024/09/02 16:50:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/09/10 22:18:31 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/09/10 22:18:31 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/09/10 22:18:31 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/10/29 03:00:12 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2024-01011
- 通報者:nhd1261 ({{萌新}})
- 風險:嚴重
- 類型:疑似遭入侵 (Probably Hacked)
參考資料
相關網址
https://www.wizcare.com.tw/wizcare/admin/
http://www.wizcare.com.tw/news/news.php?page=1&newid=2%27
敘述
-
Index of 未關閉
問題描述:網站目錄未關閉索引功能,導致可以通過 Google Dorking 進行目錄遍歷。
發現:使用 Google Dorking 查找 index of /phpinfo site:tw 醫院,發現了目錄列表,內含 phpinfo 文件(可能是駭客植入的)與後台登入介面還有許多可疑文件,推測為 Web Shell。
影響:可疑文件和後台介面被暴露,可能導致攻擊者利用這些文件進行進一步攻擊。 -
SQL 注入
在 http://www.wizcare.com.tw/news/news.php?page=1&newid=2 的 newid 參數中,添加單引號後出現錯誤信息,使用 SQLmap 進行測試,被防火牆檔下。
雖然防火牆阻擋了大部分 SQL 注入測試,但在後台登入介面未被防火牆保護,可以進行 SQL 注入(帳號)和XSS(帳號與密碼),帳號輸入以下 payload ,密碼隨意,成功登入後台(記得第二個單引號後面要留空格):
Payload:
' OR 1=1-- '
<script>alert('XSS')</script>
進一步抓去POST用SQLmap獲得更完整的資料庫訊息
Payload:
python sqlmap.py -r "test.txt" --random-agent --dbms=mysql --dbs --batch
python sqlmap.py -r "test.txt" --random-agent --dbms=mysql --users --passwords --batch
更新一個發現,後台管理進入後,發現網址的GET訊息也未有防火牆保護,可以進行注入。
影響:敏感數據洩露,攻擊者可進一步竊取數據。 -
文件上傳與RCE
通過 Index of 發現大量疑似後門文件,推測存在文件上傳漏洞,所以通過SQLmap --os-shell測試,但失敗,後續透過以下Payload發現可以在upload的底下目錄創建檔案,但寫入內容失敗,懷疑駭客是從其他地方上傳後門(比如前項提到的網站後台)或提權後再上傳。
python sqlmap.py -r "test.txt" --random-agent --dbms=mysql --batch --file-write="/text.txt" ""--file-dest="C:/xampp/htdocs/wizcare/admin/upload/files/test.txt"
影響:攻擊者可通過上傳的後門獲得遠程控制權限,進一步操控系統。 -
部分web shell內容
透過SQLmap的--file-read讀取各個後門程式碼分析。
https://www.wizcare.com.tw/wizcare/admin/upload/files/tunnel.php
這段 PHP 程式碼實作了一個基於 TCP 連線的伺服器客戶端代理,透過自訂編碼格式進行通訊。它具有處理連接、斷開連接、讀取資料、轉發資料等功能。
https://www.wizcare.com.tw/wizcare/admin/upload/files/tes.php
這段 PHP 程式碼從 GitHub 上下載一個 PHP 檔案並執行它。
https://www.wizcare.com.tw/wizcare/admin/upload/files/Bypass.php
https://www.wizcare.com.tw/wizcare/admin/upload/files/pptx.php
程式碼被多重加密。
https://www.wizcare.com.tw/wizcare/admin/upload/files/jmyjh.php
這段 PHP 代碼是由非常複雜的位運算和數組操作組成的,並且主要用於生成一個 PHP 的 eval() 函數,最終執行某個 PHP 代碼片段。它利用了 PHP 的魔法方法和一些奇怪的邏輯來達到目的。
https://www.wizcare.com.tw/wizcare/admin/upload/files/sysfuck.php
這段代碼會執行傳遞給 x 參數的命令。
https://www.wizcare.com.tw/wizcare/admin/upload/files/result.txt
看起來像其他惡意代碼執行後的輸出結果,內容是端口掃描,並發現一個疑似admin的備份。
以上程式碼若有需要我可以提供。
其他目錄底下也有一些不明文件,很多圖檔與後門的上傳時間相同,不排除被動過手腳的可能,請完全檢查並清除所有後門。
以下為我的測試時創建的文件,請協助刪除。
https://www.wizcare.com.tw/wizcare/admin/upload/_thumbs/Files/test.txt
https://www.wizcare.com.tw/wizcare/admin/upload/images/123.php
https://www.wizcare.com.tw/wizcare/admin/upload/files/test1.txt
https://www.wizcare.com.tw/wizcare/admin/upload/files/test2222.txt
https://www.wizcare.com.tw/wizcare/admin/upload/files/tmp1.php
更新進展,8/30 06:54 這個目錄被駭客鎖起來了,現在無法看到files目錄下的內容。
https://www.wizcare.com.tw/wizcare/admin/upload/files/
修補建議
Index of未關閉
關閉目錄索引,並檢查是否有敏感資訊洩漏。
SQL 注入
使用參數化查詢,將所有 SQL 語句修改為參數化查詢,避免直接拼接使用者輸入。
加強防火牆,尤其是把後台登入與後台編輯頁面也納入防火牆保護中。
檔案上傳與後門
應該存在檔案上傳漏洞,駭客可能利用此漏洞上傳後門檔案,建議檢查後台的上傳檢驗機制。
Web Shell 清理
發現多個後門檔案,導致系統被遠端控制,建議全面清理並加強日誌監控。