國立清水高級中學 社團場地申請系統 CMS 資料庫連線檔備份 純文字公開洩漏 DB 明文憑證 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00531
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 國立清水高級中學 社團場地申請系統 CMS 資料庫連線檔備份 純文字公開洩漏 DB 明文憑證
  • Introduction: `/include/` 目錄存在 PHP 資料庫連線檔的備份版本 `conn.php_bak`。因副檔名 `.php_bak` 未被 Apache 視為 PHP 處理目標,將以 `Content-Type: text/plain` 直接送出檔案原始位元組,導致未經認證的攻擊者僅需一個 GET 請求即可取得包含資料庫主機、帳號、明文密碼的完整連線設定原始碼。同時 `/include/` 目錄列表 (`Options Inde

處理狀態

目前狀態

公開
Last Update : 2026/05/29
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2026/04/12 14:52:03 : 新提交 (由 MaZon 更新此狀態)
  • 2026/04/12 22:43:15 : 新提交 (由 MaZon 更新此狀態)
  • 2026/04/14 20:04:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/13 16:00:40 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/13 16:00:40 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/13 16:00:40 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/21 10:45:15 : 已修補 (由 組織帳號 更新此狀態)
  • 2026/05/29 03:00:50 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2026-00531
  • 通報者:masonzeng (MaZon)
  • 風險:嚴重
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://203.72.248.44/include/conn.php_bak
http://203.72.248.44/include/

敘述

http://203.72.248.44/include/conn.php_bak 為國立清水高級中學社團場地申請系統 DB 連線檔(conn.php)於 2015-04-27 的備份版本,其副檔名 .php_bak 不在 Apache 的 PHP handler 對應清單內(如 .php.phtml.php5 等),因此 Apache 預設行為將該檔以 Content-Type: text/plain; charset=UTF-8 直接送出原始位元組。檔案內容預期為 PHP 程式碼,包含 mysql_connect() 等函式呼叫所需的資料庫主機、帳號與明文密碼。

curl 以下網址:

http://203.72.248.44/include/

觀察伺服器回應,將取得 Apache 目錄列表頁面(共 17 個檔案):

<title>Index of /include</title>
<a href="CheckEmail.php">CheckEmail.php</a>      29-Jun-2013 10:24  14K
<a href="DBF.php">DBF.php</a>                    29-Jun-2013 10:24  841
<a href="SendSMS.php">SendSMS.php</a>            07-Aug-2014 09:31  589
<a href="SubPages.php">SubPages.php</a>          29-Jun-2013 10:24  4.8K
<a href="class.smtp.php">class.smtp.php</a>      29-Jun-2013 10:24  31K
<a href="conn.php">conn.php</a>                  07-May-2015 22:24  2.1K
<a href="conn.php_bak">conn.php_bak</a>          27-Apr-2015 13:06  2.2K  
<a href="function.php">function.php</a>          09-Apr-2015 15:00  16K
<a href="mailserver.php">mailserver.php</a>      29-Jun-2013 10:24  2.8K
<a href="md5.php">md5.php</a>                    29-Jun-2013 10:24  2.9K
<a href="pageft.php">pageft.php</a>              29-Jun-2013 10:24  2.9K
<a href="pageft1.php">pageft1.php</a>            29-Jun-2013 10:24  3.5K
<a href="php_sendmail.php">php_sendmail.php</a>  25-Oct-2013 15:24  49K
<a href="reimg.php">reimg.php</a>                21-Oct-2013 17:31  2.8K
<a href="showTables.php">showTables.php</a>      29-Jun-2013 10:24  1.2K
<a href="timthumb.php">timthumb.php</a>          12-Aug-2014 18:01  51K
<a href="upload.php">upload.php</a>              15-Apr-2015 15:12  4.4K

列表中的 conn.php_bak 為 DB 連線設定檔的備份版本。其副檔名 .php_bak 不會被 Apache 交給 PHP 引擎執行,將以 Content-Type: text/plain 直接送出原始檔案內容(含資料庫主機名稱、帳號、明文密碼)。

執行 HEAD 請求驗證
圖片

修補建議

確認 `/system/`, `/upload/`, `/data/` 等敏感目錄均已關閉列表
將 `/include/` 移出 web root,理想做法是 PHP 函式庫不應放在公開目錄,可改為 `/var/lib/cshs_app/include/` 並透過 PHP `include_path` 設定載入

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;