万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
! r* y! E& I% M  q0 L8 g# U万达scm系统登陆框sql注入。
5 J& K9 Z  d, o: u4 I. Y9 P
( ], z- G% k- h0 ^7 g# Q2 p1 v  _http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
& i# U$ H# [+ `) g3 I

2 A1 a2 E! F- C5 A# `+ Z" c0 P- y/ h3 t500错误。

: W2 B% a& D$ D9 C用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
; c  X5 a( M: p  d9 A5 O! [) r截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
, P8 R- P, p( [. e  e经过分析，登陆验证的过程应该是：
5 j/ b: U( b  T( n0 D- t
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
7 R7 u0 _+ r  n$ a
oracle数据库，存在注入点。@大连万达，你怎么看？
! `# }/ S' w' x' Ghttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
" E* `3 V- i5 U) `4 _3 V3 K
( b, {0 ?; `1 `( ]3 M系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
* I" ~& Y6 Y. ~3 Y" Q: u漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


4 R: o$ U2 {& H0 V9 ]  t7 `500错误。
! F# Z: {- k1 Z+ U7 k
( U4 k2 ]' z7 N% ^6 e3 m用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
5 E. v( B& M  y2 H9 c9 v; X& G6 G
; R, r( c: N4 k/ N
（截图有一点问题）
- M; D9 J! W( o* Y9 n5 `+ D
+ l+ X4 f9 l# V3 t. F+ g$ W怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
& ?5 Q- X% h2 x. q) ^( U8 w; J- o- {
; `% W) Z! \/ A! s取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
( g9 |* ^7 t1 @. @
绕过：
& \7 A1 w, ?4 x; h$ Ohttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
, u( t/ j; p' ?, C

oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。

+ r8 t1 b4 m' x: R6 b
厂商已经确认

% r# v+ S' o+ O! ]. V3 x: _- t[/td][/tr]
) N3 ]1 m' r. v, b$ s. h; Z[/table]

0 n% g, T6 n+ o$ @  u
9 [7 X* J  n0 \8 e4 C8 s( f, R