简要描述:万达某分站sql注入。敏感信息泄露。
% c" w8 x6 A2 _! P详细说明:* g! Y1 N! x7 K/ k5 `7 ^
万达scm系统登陆框sql注入。3 q; C; K! X# c" ]) r
. o9 c' q, X# Khttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; H/ C7 h& T0 [, C* u; ^& U9 ~* X
# I, |: d2 S# J$ o+ Y2 U7 _% }7 m0 q1 |; I
500错误。% I; ` z3 `4 W f, U, V
" Q' M2 G L' }. T: l. _& G
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
1 D f% E7 j( o, D7 V; Y0 shttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
" z6 [1 B8 L: h! U+ G& ?截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)3 d F0 W8 x% ^5 u
经过分析,登陆验证的过程应该是:. o6 b2 E6 Z q+ T3 t5 r
) r! L. Z1 a/ M7 W3 A0 b$ q3 |5 v& g取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
7 D8 Z. m! l }, L7 thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
" j/ u B) g( C9 K* f
, H. b+ O9 a1 ]oracle数据库,存在注入点。@大连万达,你怎么看?' t+ ?1 H" ?5 v
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
; E9 v! m2 x, S8 j9 E3 m
5 \3 Y3 l& ], `; q- V; y系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。" O. {6 n, V1 w7 E
漏洞证明:3 H1 p+ n( C _2 q m$ U
万达scm系统登陆框sql注入。. F0 T9 Y4 J) [$ p
& D, { E7 ^/ ?% t8 Uhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27/ w& u4 {7 H" M. Z2 \# l" u
0 i0 h, w$ U$ ^8 E4 |- {0 \. R4 h
+ V% T. ?5 l1 l
500错误。
2 |. g- U1 x) `) f) S
5 r' ?9 x3 p, ~用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 |0 W2 G' e- ?1 J" d+ j! S; v$ k* K4 Vhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
3 ]5 j) @& B' l8 A& q( p6 T( L6 f2 E2 _0 i: x
! l3 ?- { M8 o# z R' x/ _) {
(截图有一点问题)
( R6 y* S0 l' z
" ~3 S9 n3 y$ @- Y2 b, S8 q怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
2 h* ?, `8 v R5 f
. f3 i1 D3 {! \ x* [' Z+ c取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
5 |% |8 u2 S6 ~* `( e3 R& P
3 @. O1 {$ t! F9 E绕过:
; D6 z: c) k% }. J* b) f! phttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
4 \( C5 s H2 b y
- l; q" M! v! r( G& I' ]( D, r0 [2 v) ^
oracle数据库,存在注入点。@大连万达,你怎么看?( B3 ]6 h1 a5 a; h" }
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。2 w+ P6 {% _8 J! C0 O
7 L& c$ ^5 Q$ E+ j) ]0 F修复方案:
, q! }7 J" P: O% X- H。。。
0 e9 p" Z7 L. L' I; ~: I/ j3 [) z6 _4 a4 \
5 G% t6 A& t }厂商已经确认' X0 M; W I5 c
* `% d7 a, {- f% _( x
[/td][/tr]
8 B$ V- `& k5 y. _$ m& h[/table] E- L% j, X; n- k% K$ J- |3 @- s
6 c0 e. g' q$ u
/ U6 G$ w4 U9 t) A, E8 N |