清華大學LFI - HITCON ZeroDay

Vulnerability Overview

ZDID: ZD-2025-00323
發信 Vendor: 清華大學
Title: 清華大學LFI
Introduction: LFI讀到機敏資料

處理狀態

目前狀態

公開

Last Update : 2025/05/25

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2025/04/16 20:45:25 : 新提交 (由 ZeroCat 更新此狀態)
2025/04/21 14:35:00 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/05/02 16:17:36 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/05/02 16:17:36 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/05/02 16:17:36 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/05/12 14:40:28 : 複測申請中 (由組織帳號更新此狀態)
2025/05/12 20:03:20 : 未修補完成 (由 ZeroCat 更新此狀態)
2025/05/13 14:32:01 : 複測申請中 (由組織帳號更新此狀態)
2025/05/14 23:53:04 : 未修補完成 (由 ZeroCat 更新此狀態)
2025/05/21 11:34:53 : 複測申請中 (由組織帳號更新此狀態)
2025/05/22 00:34:56 : 確認已修補 (由 ZeroCat 更新此狀態)
2025/05/25 03:00:23 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-00323
通報者：Zer0_Cat (ZeroCat)
風險：高
類型：本地檔案引入 (Local File Inclusion, LFI)

參考資料

攻擊者可經由該漏洞取得後端系統檔案及網站程式原始碼等敏感資料。

漏洞說明： OWASP - Testing for Local File Inclusion
https://www.owasp.org/index.php/Testing_for_Local_File_Inclusion

Wikepedia 漏洞說明：
https://en.wikipedia.org/wiki/File_inclusion_vulnerability

OWASP Top 10 2007 - Malicious File Execution
https://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

進入網頁後，隨機輸入ID : admin，PSWD:admin並點選"OK"，得知會顯示AccessDenied如圖片一。
開啟F12->Network，可看到payload為WAPLOGIN=admin&WAPPASSWORD=admin&PIC_SIZE=RES_0&FILEOK=camera.htm&FILEFAIL=denied.htm&Submit=OK，可猜測denied.htm的內容其實就是AccessDenied，故可以把denied.htm換成camera.htm.
訪問網址http://140.114.188.205:81/cgi-bin/wappwd?FILEFAIL=camera.htm，可發現成功繞過帳號密碼驗證，如圖片三。
嘗試讀取etc/passwd，會發現../../etc/passwd無法使用，猜測是因這個漏洞已經有在網路上公布了，可能擋了../。故改變payload為....//，訪問網址http://140.114.188.205:81/cgi-bin/wappwd?FILEFAIL=....//....//etc/passwd，發現可成功讀取(/etc/shadow也可以)，如圖片四、五。

修補建議

1. 因這個漏洞最早出現於2011年(Viola DVR VIO-4/1000 Multiple Directory Traversal Vulnerabilities: https://www.exploit-db.com/exploits/35644)，且到現在網路上無找到相關的patch去修補此漏洞，可能這個設備已經沒有再更新了，故建議可以更換新的設備。
2. 使用白名單限制檔案的讀取