万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
# a# Z7 Z( }( h' }  `! g8 X( }; P/ M
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

( d! n# F! o) D1 P! V7 l3 R
500错误。

7 ?" m! m# @6 D* F! D: p: a用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
5 J! _# d! C1 l% i: k# h4 X! |http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
  o& V+ L' L+ E9 I经过分析，登陆验证的过程应该是：
$ [$ ]' q3 t+ s4 A3 t
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
+ A9 f9 U: [7 X2 y! [) i$ s8 bhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
( A- \! g7 M6 k  [
# V4 v$ R; z, }9 g8 R- C) L- goracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
' I7 _7 s( R$ I- d
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
, L& C& L. C4 A2 F漏洞证明：
( h" y5 M% n/ V- t8 m( J6 c万达scm系统登陆框sql注入。
5 e5 G  A$ W  m4 C( }: u
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

1 t# g6 b7 v7 w% U
9 n, m4 R9 d% }/ K500错误。
( K8 y. r- Z0 p0 Q
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
& r( S% x/ T+ c* U

（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

4 v1 N! x; v* i* g取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
, X' X& l( e* U) n8 \
' z& A; |3 g+ T绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
! r9 ^: H7 U  r9 N* Q+ R2 i

oracle数据库，存在注入点。@大连万达，你怎么看？
: e5 r4 b6 }. M0 W2 L. s* l0 f​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
5 E  i- b6 u. b, @# h
修复方案：
。。。


厂商已经确认
4 y3 L$ \: n4 j- D6 v
3 Y6 _8 X# ~. z0 a[/td][/tr]
% W3 ~1 X' j9 F5 N9 z[/table]

; e' R; Q/ f2 }
4 T$ `( I# U4 X: i