中国网络渗透测试联盟
标题:
万达供应商系统SQL注射漏洞
[打印本页]
作者:
admin
时间:
2013-3-24 20:16
标题:
万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
4 D: p0 f& [( h. `7 R
详细说明:
- e7 m1 W2 V7 Y
万达scm系统登陆框sql注入。
1 Z% i" l* z0 Z( I
# }0 L2 \/ w; s$ n5 g. i( s9 c8 @6 \
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
$ M- G$ B I" }- r6 t# o3 Z1 a
9 }" C% M/ S4 r5 l9 B7 B
) F, x d8 z \. [7 l
500错误。
& t# l: ~, \/ c/ Y5 y
+ f1 g2 E4 Q( L+ b8 x
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
! O7 k' j+ y: l
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
% a x1 ?( I2 p6 D. B
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
% W/ [; W; j! s( A# a+ P3 B
经过分析,登陆验证的过程应该是:
9 `) N5 U5 ~- m* x& X
0 |. J2 ]# @2 B& w* `3 N( i0 W, ?
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
! C( _5 B) i' x$ g5 u! f
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
& I2 B4 @- [' ?3 n
5 F+ L/ E# E9 W. B
oracle数据库,存在注入点。@大连万达,你怎么看?
$ l/ A4 v# r7 e: Z( }
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
. S, }7 d0 J0 ?
. X9 z* T" K; e4 y
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
- [4 Q0 g, C. l3 I3 g# I
漏洞证明:
/ s! W3 I- c. Q( p- _3 L. W/ F
万达scm系统登陆框sql注入。
' `' B9 v( k. g$ W, ~9 n4 r% I. u
4 s0 p0 k5 m1 l& Y
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
4 y. i; k! L# R! y. ^
6 F+ w U. Z$ j. |3 N5 x! G
3 z4 h$ c/ C& z5 k3 s
500错误。
7 W) p* d6 S) r
+ e& } ]% q1 m. a5 A5 d: x
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
" T0 T, s6 @- C5 r" A
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
2 K! N; ]: D H) y
7 ^% ]' d# Y) U! m' m- V( Q3 {: o
; J& t, x4 H6 V, h0 j6 l
(截图有一点问题)
, S" k1 @8 P. h: d- q! N3 ]- Y
! r% I" s5 e. P1 z$ V; }+ g
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
' q5 @1 [% V% h- z( |9 q
1 V3 g: Z- O% f8 j1 r. r b
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
( t) f5 s# l$ B8 y- F" B+ `
% X+ o6 e; v* w7 }; r
绕过:
+ U/ _( L4 a4 ^, |, _
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
/ _' n7 S, A+ Q2 e
' O" G' ^) }2 H5 p
# n: u$ N/ d" t1 V5 ]5 y# h
oracle数据库,存在注入点。@大连万达,你怎么看?
7 H* b) Y: Y8 N! F" c
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
& o2 m: J; U* {1 ?
! X; z$ L$ R( ]
修复方案:
% r w; }! l- w |$ c2 S
。。。
. X4 ]4 `4 a. w5 `; h" ^
1 }& Q7 {0 R% s7 s
" f1 Y( p W+ f
厂商已经确认
8 q9 X- a2 N& p
" E6 s6 x+ g+ U
[/td][/tr]
! S# \, |1 y0 y) b% E/ E7 }: {
[/table]
: w. n( f! n, s3 f$ x! H* i! M0 c
1 q" s- T! V' S
3 V8 @9 M$ E- F- V7 ]1 x, S
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2