万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

: w5 `/ d( o! O) [- k: L7 Whttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
) Z: }  l, y9 Z' Q) k" d- X
! b9 b+ _7 ^# |( i! l; @; R
500错误。
5 c, J0 Y" F7 u9 I, J9 a" a
! y2 K, R6 S! |& ]% b7 h3 v用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 t8 i5 F1 @- R# @$ W2 khttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
: w  b7 [6 H" \. z截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
. N. K) ^: Q* m8 g经过分析，登陆验证的过程应该是：
( A  O  o1 }5 b, R, f$ j+ x
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
. F& ?% P  D- H3 `( k' u
: G6 P& I8 v  O8 L! c* ?) e3 voracle数据库，存在注入点。@大连万达，你怎么看？
; R# n7 P$ I* ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

8 Y! w1 a- Q9 C( T2 W% X系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
( ]. S  n1 d" d% L4 G! `" h漏洞证明：
4 b1 K$ U% u: ~( n  n万达scm系统登陆框sql注入。
, I4 K; n1 D1 e  {7 A" i
$ F0 i8 g& u  A. V3 Z! fhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


6 G4 ~2 Q" V3 s, r500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
* D, D  j/ k5 G& @# ^
0 B* X6 c2 C8 k3 y
" b! u7 F* J! H( R（截图有一点问题）
3 {* p8 y. y4 c& h4 N  ^1 L) q
% c8 n" y: K) O怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
' m7 ~9 o/ l5 S
9 ?$ z0 p0 u2 ?取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
- V% d5 [3 `0 s, r
绕过：
- c9 L% E0 }) E+ s3 Rhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
/ i" k& Z$ T1 A

4 |  n9 h+ E2 Y2 W1 J/ soracle数据库，存在注入点。@大连万达，你怎么看？
4 E& c3 l/ u- D0 ]* |​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
. u% s1 O+ a5 t5 j! O/ h9 W4 v。。。

* A9 ?$ X! I) q) y
厂商已经确认

! W" t5 f4 w1 D! d[/td][/tr]
[/table]
) S/ V) m3 }9 r" W( a2 w* C
* w: ]& \; g" L) N$ |0 f7 u
& W' n+ j% P* ^$ s. Q$ x