万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
% c" w8 x6 A2 _! P详细说明：
万达scm系统登陆框sql注入。

. o9 c' q, X# Khttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; H/ C7 h& T0 [, C* u; ^& U9 ~* X
# I, |: d2 S# J
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
1 D  f% E7 j( o, D7 V; Y0 shttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
" z6 [1 B8 L: h! U+ G& ?截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

) r! L. Z1 a/ M7 W3 A0 b$ q3 |5 v& g取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
7 D8 Z. m! l  }, L7 thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
" j/ u  B) g( C9 K* f
, H. b+ O9 a1 ]oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
; E9 v! m2 x, S8 j9 E3 m
5 \3 Y3 l& ], `; q- V; y系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

& D, {  E7 ^/ ?% t8 Uhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
2 |. g- U1 x) `) f) S
5 r' ?9 x3 p, ~用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 |0 W2 G' e- ?1 J" d+ j! S; v$ k* K4 Vhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
3 ]5 j) @& B' l8 A

（截图有一点问题）
( R6 y* S0 l' z
" ~3 S9 n3 y$ @- Y2 b, S8 q怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
2 h* ?, `8 v  R5 f
. f3 i1 D3 {! \  x* [' Z+ c取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
5 |% |8 u2 S6 ~* `( e3 R& P
3 @. O1 {$ t! F9 E绕过：
; D6 z: c) k% }. J* b) f! phttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
4 \( C5 s  H2 b  y
- l; q" M! v! r( G
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

7 L& c$ ^5 Q$ E+ j) ]0 F修复方案：
, q! }7 J" P: O% X- H。。。
0 e9 p" Z7 L. L' I; ~

5 G% t6 A& t  }厂商已经确认

[/td][/tr]
8 B$ V- `& k5 y. _$ m& h[/table]

6 c0 e. g' q$ u
/ U6 G$ w4 U9 t) A, E8 N