万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
$ J- T4 x; H5 o* H1 i/ x' e详细说明：
万达scm系统登陆框sql注入。

  j! G( T1 Z) [http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

1 }, p0 l& c  J) ~2 u# ]! r* e5 }
500错误。

; o5 Q% p* `) L用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
; \8 {% C7 u, u/ hhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
4 \) o& u* w6 s$ F截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
% ]& |' f! h3 Q; u' A8 b7 |/ r经过分析，登陆验证的过程应该是：
4 ]6 W& Y  k  e1 T; r! \. d
7 V% u6 |  N' z0 m取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
3 c: h' Z8 G& N, R6 Q) _: i4 C, s, Q6 Zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

; a  W( a2 s% U1 Voracle数据库，存在注入点。@大连万达，你怎么看？
* L. q1 Q! g  ^7 r! [: V3 U. Qhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
2 V: o# L6 Q7 k: ~万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
, @* H' s/ [0 ]/ ?

500错误。
4 h: ^. J# h: j# a, A" i
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
# g( \& h1 M8 z  r& R- n- ]4 F7 t
2 ?' O' C0 z6 a; i; m
（截图有一点问题）

6 W& U: R7 D3 {6 i$ {怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
$ M8 D; o# M. M: c
) a1 @0 s4 g4 |% O5 ^取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
7 }: V) x0 Y4 Y, E2 I& _# D% _5 v
9 w0 y. x: V. z' K: H绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
! a( e; g" P1 r0 a, U# D

oracle数据库，存在注入点。@大连万达，你怎么看？
' M0 `( u: u9 t% V; i7 g  a! P4 a​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
8 R- S# b0 U' x  K0 H: ^。。。

5 B( {" g/ u% l* l! W
厂商已经确认

$ q  p) l# A6 T6 V9 J% v( _[/td][/tr]
0 t. D! n  H" w6 E" P: H$ M0 L[/table]

! m/ x& S. B* h2 `' M- d, d5 O