万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
) E  w- L! e& K$ g5 j万达scm系统登陆框sql注入。

5 c; w4 K3 Y/ s& H! \# {http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
& w6 e3 w, Z1 ^! d+ U) }

1 h* A# d  i. B) H8 f500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

- m5 T0 R. e: z! j! x取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
/ ~4 O, P; O9 j) U* \1 H
& `# a: R+ R6 ~% B; n: z3 Ooracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
. S6 M, `& u- k# ?- D2 A
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
/ u! W0 B7 n( P! ?( a/ A2 F漏洞证明：
/ E  O1 P0 ~8 N! n' Z3 |- N万达scm系统登陆框sql注入。
# [* j. O: N# e9 Z
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; R1 z. M7 A( N1 h! p

500错误。
# O- O. h$ K9 W7 n/ J! b/ U
# m. w8 d) Y' K7 {7 D用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. S$ |4 H4 m  e4 P3 h! i% Shttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

$ P* K4 u' o: {
（截图有一点问题）

+ o' w& F& ]5 l  _7 G) _+ g怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
& g* ?0 l' }, i) A3 [
, n& W* F2 E3 E- o) l- E取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

" d& c, c! x0 U7 c# u绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
" m+ D9 V* J5 h6 c9 I6 g​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
! s! I" S/ x6 ~! u8 i/ u
修复方案：
* V) @, d) W! `% u* u1 K。。。
% P7 M6 N! X, m4 D' u& K, Q
: a$ X; X3 Z6 h9 }6 y1 F: c
9 O6 |" N0 F1 ?2 X3 u4 ^( U厂商已经确认

[/td][/tr]
[/table]
" C" C: `% P4 {7 X- c