万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
1 ?, g4 N# S3 Z详细说明：
' Z  i5 B2 _& U- H# Y万达scm系统登陆框sql注入。
0 ~9 `* T4 _6 o, L& t
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
  i6 _; @3 f9 s  l6 k
! [4 W, q" F1 t
' s6 r; u2 D3 N: t& X" {9 \. O500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
& C& K5 t- ^& e& d* `; E! c经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
/ Z3 N; t1 ]& X0 L. ^) b4 S
4 H* f0 R8 t! y, goracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
$ E6 L7 ?2 \; `4 M) z' s
) p3 J3 w/ C) N# y. Fhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
2 R; t/ D0 W9 ^, k+ d
5 ~0 B% Q' Q; i  z, {+ j& }
500错误。
) s3 S+ A) I+ F
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
8 G6 O! R4 t& h. ^
2 O. U; G% ^2 S
（截图有一点问题）
$ _# K3 ?5 h  H4 i8 y
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
7 z1 X2 N2 P8 R# x9 f( Y3 N% `7 Chttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
& q: I( A/ N/ ^

oracle数据库，存在注入点。@大连万达，你怎么看？
) Q  C% R- d  m+ s​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

: O4 y+ |3 _& S1 e: l修复方案：
4 c# B, t8 o1 G' x5 F3 p- k。。。
& P1 A! O% M1 h6 O* t4 v9 T& ?' y" C# @

厂商已经确认
6 N3 i2 m3 X. A
[/td][/tr]
[/table]
" p& h+ t  \; S1 P% G/ e
0 \- j1 u4 x1 l) W. E