万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
3 @2 b. F$ V4 ^6 u详细说明：
% W! ^4 k1 ^0 w' J万达scm系统登陆框sql注入。

! l, I6 m% r% @+ W% z/ {# vhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

" t8 u9 g# C8 q  r+ Z& e6 Z3 |! G用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
: b6 i2 N9 [% M! K) t& j& j, i" }( Fhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
, t/ @) x7 G! K& \3 }: |截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# V+ n7 E* s8 b0 C' z3 u* xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
. B1 Y4 Q- R' c: }6 {( C6 Z+ e
oracle数据库，存在注入点。@大连万达，你怎么看？
- t1 n* }* W' r5 a; Xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
7 i- Z1 |8 U/ L# r8 o
& s( z, J( v) o& z" r) z) ?* X( F  L系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
9 c5 `0 v) q8 V- Y/ R9 w漏洞证明：
4 l& o+ P8 Y# H4 x. ]+ R5 E万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

/ v9 J$ w; N7 A6 K8 g% i用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
4 _3 W% g4 Q8 C1 M: Ohttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
3 D( o7 ^  Z3 t- l& [
+ U: M$ V2 ]3 z; _) I! H! E( N. ~
（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

: N* w1 H2 M4 G0 _取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
+ x7 K5 E& {* l! a. O( `0 N
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

% B+ S& i. ]1 U1 g
oracle数据库，存在注入点。@大连万达，你怎么看？
, w' Z. \9 X! O4 s! C, k​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
- i2 p* {9 I: x' E( N) p。。。
2 b$ q" A7 Q" ^6 J/ w
1 g2 }) F" h- i1 O  N
2 B) k: P6 K% @厂商已经确认

[/td][/tr]
[/table]


( a( a/ O( x- S: W  J9 H