万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

, a( V- G7 m  ]4 h& S9 g. T; `
' H$ J2 ^/ s# Y7 `2 |8 \" q500错误。

! `; y- p+ J( I9 b) Y用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
  v9 V& y+ ]; rhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
0 n) N5 D' [: v" w1 _3 m# o& y& |截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
4 g) @$ r3 K9 t+ p9 t2 I% U! ~: @" J经过分析，登陆验证的过程应该是：

& _+ O3 K6 w; R# Q取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

. O6 M+ \. I5 \8 T/ zoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
* ^% o# M4 N4 w( Y2 L/ C1 d7 H1 Y# U1 U
4 ], t( r6 E6 ?' Z0 l5 s系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

$ c. r9 n% t; d9 Rhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


1 J5 O, I% k+ y; I8 E2 J& B500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
+ Z3 Y  Q6 Z5 R, T6 ^( rhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）
6 M* Q3 f6 U" M: \! x( ~
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
+ v8 k/ h" b: w, X+ r4 y
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
+ ^5 ^: R: s9 K1 k
" q6 n- i: n& V9 N( R绕过：
, F" e( O% W7 a8 V+ U' Y: j7 Phttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
& V8 |( E' H& ]( |) l3 `& B9 X

  |7 X2 d2 p, Goracle数据库，存在注入点。@大连万达，你怎么看？
! V6 ~3 ^1 w* y& L( ]% [* p& y​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。
+ U+ }  O/ `8 e+ y: Q5 ~
" @4 m' @$ @% \, Q1 o
厂商已经确认

8 ~( ^) ^. ]& J: ^0 w" ~$ a0 {[/td][/tr]
6 N; ]; z  m4 H% k[/table]

* t' Q7 x- l9 S* g