万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
0 S' Y' ^( Y( v$ I2 T0 X5 v/ y9 K
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
5 v9 ~1 N; |( W) L8 y# D
5 n2 A) D, n% T0 b, k
500错误。

2 A8 D1 B; X2 Z( P2 `8 e  z用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
3 C6 Y; P3 R5 r2 Ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
( Z9 M& M6 d" y8 A. z& v- k$ v* f经过分析，登陆验证的过程应该是：
, V: U# M) Y4 x" z6 g4 l6 Q0 z8 h6 t
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
- }" B1 i  `0 V, D+ _
. G# a' A& X% H7 c4 M/ c3 ]- x系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
* G* z- a* C% }漏洞证明：
万达scm系统登陆框sql注入。
$ J( U; A' Z5 L  B1 C
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ y8 r* B) b0 D
& A9 o1 G  Y# v2 ]
* O' ?+ a( B: w+ c500错误。

0 k4 f9 ]) z8 w6 L$ ?+ a; a! ~/ B6 R用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

" T/ W6 g/ n% ?5 j
* ]% ?$ c% A- y: A1 A（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
$ d7 h) \. Q! p# L/ ]
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
4 p/ j1 Z& K/ l
绕过：
6 T: [5 V1 o. f" D* f7 Z1 Chttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
9 i' d/ f. b* p5 ?+ u" w

  e$ ^  _3 C. H9 |oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

4 M. m+ r3 g; [" Z- N8 ?- c修复方案：
' }4 C' C* r: V1 A- m$ y。。。

3 K" ~' J' a. ~, v" U
厂商已经确认
8 H; `4 r: L! W/ T( [/ r9 p/ o; @
2 ]$ n1 |! a, m1 _. h[/td][/tr]
[/table]
' \5 w" Y5 z/ O' R. Y
8 }8 N5 w) H/ H6 e