万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
& i/ a) p- y- ]+ D3 B
  [3 ~( r/ H' M7 P+ A2 b: o+ C; }用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
7 M! ?  T" n) I9 j  R3 i) a: M截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
3 S! Z+ K: @( D) X1 H8 R/ v经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
! h# L3 Y6 C7 W. whttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
/ G& ^; W& K0 w: X
oracle数据库，存在注入点。@大连万达，你怎么看？
3 M3 r8 ?+ M. U: Vhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
' G5 L0 Y1 C% @: t; s+ v
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
0 G, }) X2 Q9 w漏洞证明：
3 m% r7 c  f- @% e2 S% [+ l! Q6 y! c万达scm系统登陆框sql注入。
0 d# Y9 I: H- S2 j0 I
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
) H8 h+ g7 c/ s" m# v0 q( y5 xhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

( _* E7 g' I; p( h
（截图有一点问题）
8 n# [2 o' p) Q, S$ m8 S" ?
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
$ w# E+ e4 l# W# x5 F
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

% W# C3 l. }! ?+ P) _5 ]绕过：
& H8 W6 x0 Y* Y/ @; y2 zhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


/ v% e) l7 l( w, O! {2 p% Horacle数据库，存在注入点。@大连万达，你怎么看？
' N$ Y6 \6 T+ X; N% }​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。
  d- D3 ?6 F3 \0 {2 ^1 b$ U; T
1 ?& }4 V! S' L/ l
* g9 P) W/ u; _厂商已经确认
5 b: G( h; f3 u0 I- u# A# J/ t
$ D8 a/ x: I% }0 w% t[/td][/tr]
[/table]
" J6 e8 ]% C/ B; R