中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

---

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述：万达某分站sql注入。敏感信息泄露。
7 u2 p5 f* I0 X, |; N) L详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; H6 |0 x) U" s/ y* h
0 C* Z( R. S% n7 e1 n8 F- ^
500错误。
" L( [* a& S3 l3 p$ y0 X
" y- P' {9 b* R- y! ~, c, g+ ]用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
4 v3 a3 }& B. W+ l. Y% R2 _8 t( xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
8 ]7 r, s- @' s) z1 B2 L3 d8 N截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
  Z* y4 _3 [. F4 |经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
  U/ _& m' ~! f( L5 Jhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
3 l! Y! O9 {" N4 o, V4 d# r. v8 H
- Z6 K* }. T9 F/ t7 h' ooracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

1 P1 W3 X# P+ B/ l$ N系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
# g# d  z# ]0 j% Y
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

7 _6 V- Y% `9 w& N
. t2 T; ^7 F! v( E+ V500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. s& D) T  e8 g$ K7 ]9 rhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

4 `/ a/ E7 c" v
+ u/ C/ x) A6 |! v. r  ^（截图有一点问题）
6 O( m5 P8 ?! s/ h. |& N$ R
% Q1 d3 V: t$ b: C怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

' }% }! j9 ]4 U6 d6 ]1 P取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
! z! z2 K5 _" N& H' I7 R3 h
4 g7 b+ K( a  ]
; z( n' G( @& H. B5 `% A4 P% S7 xoracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。


厂商已经确认
( n! R1 f, u" e5 ^  h
" C/ {. O" w& E3 F[/td][/tr]
[/table]


0 h& X  W5 m. o$ O6 A

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2