中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

---

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
- e7 m1 W2 V7 Y万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
$ M- G$ B  I" }- r6 t# o3 Z1 a
9 }" C% M/ S4 r5 l9 B7 B
) F, x  d8 z  \. [7 l500错误。
& t# l: ~, \/ c/ Y5 y
+ f1 g2 E4 Q( L+ b8 x用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
! O7 k' j+ y: lhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
% W/ [; W; j! s( A# a+ P3 B经过分析，登陆验证的过程应该是：

0 |. J2 ]# @2 B& w* `3 N( i0 W, ?取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
& I2 B4 @- [' ?3 n
5 F+ L/ E# E9 W. Boracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
. S, }7 d0 J0 ?
. X9 z* T" K; e4 y系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
/ s! W3 I- c. Q( p- _3 L. W/ F万达scm系统登陆框sql注入。
' `' B9 v( k. g$ W, ~9 n4 r% I. u
4 s0 p0 k5 m1 l& Yhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
4 y. i; k! L# R! y. ^
6 F+ w  U. Z$ j. |3 N5 x! G
3 z4 h$ c/ C& z5 k3 s500错误。
7 W) p* d6 S) r
+ e& }  ]% q1 m. a5 A5 d: x用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
" T0 T, s6 @- C5 r" Ahttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
2 K! N; ]: D  H) y

（截图有一点问题）

! r% I" s5 e. P1 z$ V; }+ g怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
( t) f5 s# l$ B8 y- F" B+ `
% X+ o6 e; v* w7 }; r绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
/ _' n7 S, A+ Q2 e
' O" G' ^) }2 H5 p
# n: u$ N/ d" t1 V5 ]5 y# horacle数据库，存在注入点。@大连万达，你怎么看？
7 H* b) Y: Y8 N! F" c​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
& o2 m: J; U* {1 ?
修复方案：
% r  w; }! l- w  |$ c2 S。。。
. X4 ]4 `4 a. w5 `; h" ^

" f1 Y( p  W+ f厂商已经确认

" E6 s6 x+ g+ U[/td][/tr]
[/table]
: w. n( f! n, s3 f$ x! H* i! M0 c
1 q" s- T! V' S
3 V8 @9 M$ E- F- V7 ]1 x, S

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2