万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
. E. U* `+ F" b5 k& Z详细说明：
# \2 t2 Q. @  l8 P! T) R2 }  O万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
3 N% |0 B4 `/ u5 E) `9 C
1 P/ s- T9 z( \用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. {+ G; _% M+ ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
1 }% A; _- K/ K) a* x  ^: Q0 M截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
9 @- `1 r& |$ O' V, n9 f经过分析，登陆验证的过程应该是：
+ Y  v0 \9 S) k7 {+ P3 W/ p" R
( @3 ]+ T0 l3 Y7 g+ w7 s取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
' ?% J! Q; ^/ \, C1 R# d
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
1 x$ y, Y6 y( }! V2 v7 k万达scm系统登陆框sql注入。

$ Z  Z$ t( `/ e$ chttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
, }7 k. p* q# f. P7 F/ M: O
# p2 A7 ?) |2 c. w) E5 X& o0 K- a
* z) r  S) _- U1 u500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
8 x0 w3 I$ J+ a; }http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


1 ?7 z( i1 v% y（截图有一点问题）
8 s. H1 R; e9 B$ T
& W+ r" P6 I5 E" p0 p' T1 ]2 b怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
- o0 T9 o3 _% n" Zhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


* e: G$ K- l, a( L% W& Zoracle数据库，存在注入点。@大连万达，你怎么看？
! _  n3 ?' B" N( w6 |  ?* B' G# n  I​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
! o: V: |* M+ z$ B9 x5 |6 f
修复方案：
7 U3 O0 T5 E$ Z7 _/ i% ~5 e' g。。。

( B, C  |/ c) ^3 l! s  ~
( f+ \6 M. ^; A9 ?2 I3 z厂商已经确认

[/td][/tr]
[/table]
. H5 o+ g2 N* ?( C6 s7 ]  R- |

# ~: `( b) ~: c2 r, L/ y9 X1 g. r