中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

---

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

) z' l$ m1 f! B+ x( hhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

% p! a7 o5 z. `) _( _
500错误。
% M# V6 ?$ N  O7 M1 t. j  a, H9 X
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
- m' t+ s& j, `, B7 j! e+ B' Hhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
3 R: H8 g2 H1 y" P截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
0 j! g+ j9 O1 m+ K' r8 y& u" K/ L经过分析，登陆验证的过程应该是：
2 n) O. m9 J1 m4 S- |
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# ?# S# ^9 N- Z6 K% O( Whttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

8 J9 P8 X7 Y- j, g1 r: z) ^系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
* H6 b' a- f: ]
% M& G- |! k! p7 Q* Ihttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


$ x4 \2 P8 Z1 n500错误。
# f& r  Z5 l+ `; ]) ~* {2 f. u+ a
7 b2 V; M, y* {1 s! X6 S; E: h用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
+ E2 c1 ?' L/ U" y0 F: rhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
! Q/ O  _4 ^2 s! ~1 d2 p+ k& q

3 l8 @4 w/ g$ l, k' s（截图有一点问题）
0 k5 L% p: W2 @$ [7 z1 k: U& N' @
' {6 s# ]. i$ g, G2 s- o6 W怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
9 _9 j% X& T, N4 t# f4 [
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

( ?: U  F, I* q2 S. O7 X绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
( ]5 C% i; j; O& f+ t
1 M3 P$ T/ E, T9 j& O: X3 Z" `
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
' Z) q' V! e  m6 Q9 f  g/ x
( L+ H7 G  U% b8 O修复方案：
+ J& y2 M' ]) u# p5 T% E* y。。。


厂商已经确认

[/td][/tr]
[/table]

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2