万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
4 z( a- H3 E' u- Q万达scm系统登陆框sql注入。
- b) A: u2 r% ]0 }- r% t
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

& d, K8 o% w# v! @  X. s用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
% U$ e( t- ^9 E# Z# Z( R/ o截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

3 N9 E/ g' I' q8 [取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

* k' D) P+ ]1 X% u- a3 roracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
1 f8 ^3 p" k# F9 B4 P9 ?* h
: ~( y; e0 j# I! o: a1 B* w3 c* z系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
4 C  G2 r6 T- U$ K% a1 R3 D万达scm系统登陆框sql注入。
5 u; Y, S( F4 {3 _" U6 f+ }+ `! ~
( D/ _; D% Z7 y6 k- ?! thttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ d" I* F6 d% @+ M4 {) @1 b
+ N  |2 `( Y, ]1 k( i
500错误。
- ]3 S' e3 G8 m
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
  g, a. B' L1 thttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


+ F3 w9 Y& w' U& T* A（截图有一点问题）

/ u7 ^! n; c6 b* G怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
: U- F6 b6 A. h( a+ \; k8 `2 K5 ^
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
3 ?1 e  }; P6 x+ i4 P) t, p
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

7 e3 \5 k8 C1 j  l8 O# H. {- `0 ^修复方案：
。。。
. d" H. w: Q8 u* A

1 G, ~0 b) g; X! `, o6 g厂商已经确认

[/td][/tr]
[/table]

/ L2 ^0 a! Z* N# [* U