万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
3 x3 L( X) N, v0 h4 F4 k
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
" B+ B' g6 W% v* l6 N4 a9 k

500错误。
" R1 a2 C2 j+ I3 N) _
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
5 H; j% {  d2 k7 C, S' Y截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
( P3 m! t; p! j  D* D
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

; L! i! x* X* i- ^) uoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

8 g! o: r! k1 _* k系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
8 [7 A+ m) N# ^( N万达scm系统登陆框sql注入。
# _% p2 c7 O6 G
* [3 g" v& J1 p7 T- @. b/ q& g! shttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
& ?* N$ ~7 q  s  T: B

500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
% `9 n3 `  g, P4 Whttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
0 I0 Q5 R# b" A% m
) I( p1 v+ T+ H$ |
（截图有一点问题）
' J; D6 t- F" D9 Y( W
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

( ~/ U( t- h& ~6 I* a取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
4 H* H% ~/ f% L" n
绕过：
4 U% l; D# D( F* lhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
4 s" X" F* h5 h4 h, g% e. p5 L! z* d+ S0 G
! y8 B) R+ N7 \; t修复方案：
。。。
. u" M  G% i7 V  H1 ?8 v2 j2 W
  E" L7 G/ d: C" r
2 P7 `: h, |, Q; o7 T) h. J厂商已经确认
) H2 |* Y. K9 `# {: ^
; n& C; l9 i, Z& I[/td][/tr]
3 r* O' ?; c3 `7 p  D[/table]
" T+ ]4 i6 ^+ b2 K+ C& @
, j( s5 n& _% m: D