万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
6 _+ [( t1 e- Z+ _; g; w
! U5 g4 P8 G3 ?http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
# V) F. H% N) e5 R
# m( N) B# t6 M" A9 R* A) }9 `
500错误。

" A/ j5 u, x  ^- ~用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
7 k/ P) U6 O2 V" dhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
0 i. M+ Y! {6 J截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
4 `0 l. @  O$ O经过分析，登陆验证的过程应该是：
6 ?! B1 T$ f) w3 h5 Y! t
7 I, U, `5 z6 @+ c取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

0 O: Y' s/ @9 n2 v- u8 roracle数据库，存在注入点。@大连万达，你怎么看？
6 y: q+ @3 S; t+ @) f8 W3 Hhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
/ r$ I& |9 U9 W9 m9 C* w! L4 _; e
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
. B1 {; ?7 g/ {) V$ y) G& Q漏洞证明：
万达scm系统登陆框sql注入。

& X- o! n1 e' B7 T4 `6 I0 vhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

0 V% ]: `4 a% ^+ v* a
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
$ ^3 ^  i8 t. v2 @' X7 shttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
+ H. G! |5 [3 B
. E/ S: H" E* a
（截图有一点问题）

% Q' T* S3 o! v6 ?+ x0 @, w+ y怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

8 i4 O0 {, x1 {% d" c/ g( Q取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
5 h9 B& T& I. k. o  \. U
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
/ c& D; @5 x( w* v" z
7 ?3 k+ `5 {( f$ i7 a
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
. J$ G- H+ j  i  D2 T* m
修复方案：
。。。


5 [: R. {$ B  |8 P/ {3 ^厂商已经确认

[/td][/tr]
[/table]

9 ?; F0 k) {9 S
  S1 E5 I- x; k9 D