中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

---

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
) Z% ^3 F8 |# y# T( ~, b1 I  o$ C万达scm系统登陆框sql注入。

: v$ {% }9 Z2 K! Mhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

; o8 @) D: J' ]6 e
3 x: G4 h# ?- I  {. K. E5 X500错误。
: t# _8 S( |" G; O, k* ^
" |: j2 d. H# |5 ]% r' F, n用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
# _% S8 @7 e6 j( E7 M
$ ?9 B  }4 i  n4 }5 E6 ~取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
# _. G5 [% I1 @' Y
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
4 s- L& I. V; w8 \' @6 l漏洞证明：
万达scm系统登陆框sql注入。

1 O! C& f2 F2 I! `http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


; ]+ h' f7 J1 ~* V$ M8 p500错误。

; u4 |+ C0 p& w' T8 A$ c! s; d0 p8 x用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
' [! K! I- B3 C- v6 ]' G& a/ b) A% z7 K6 u

（截图有一点问题）

+ C! c  z) I. f怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

( t7 X0 m3 o% W( O& T取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: s) ~. b" V0 e0 X
# C  M/ o2 P2 E绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
/ V9 g0 n2 w9 l& o: L

# E$ T$ j8 r  Uoracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。


, z$ I9 A( n$ {3 Z' b厂商已经确认

) V( [( m! ?; s6 m) L( g  }$ T9 F[/td][/tr]
[/table]
0 C' ]4 s6 [6 H+ q

" b* e& B7 `2 L# n" F4 |

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2