万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
/ S" A3 o$ u# f- p2 Z# S详细说明：
5 I: s$ O& B' Z& f- v万达scm系统登陆框sql注入。
. x0 b4 ~+ P# b: L/ t; i0 c, g
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
4 P2 w/ D& _3 u0 d# S2 v' C
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
1 j' P" P: S9 Y8 Fhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
, T2 R1 X1 N' D
" }3 d% G7 {- e5 b; voracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
' a. L3 ]% \! S/ x
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
& j) i4 d# p  R5 Y- d9 b2 x% [+ i万达scm系统登陆框sql注入。
) `1 e3 V0 i. Z; L
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 M, w% a& V  c5 p  s0 q

9 ^# `3 a9 K' M9 I5 T. ^) R5 r500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

4 H. D' x! r/ o- ^% E' e
（截图有一点问题）
- b* [0 S3 G% G
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
' {- K5 @  W" Z. ]8 y( _; Y
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

! o( o5 ^  Q, _: m" ~, P绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
8 }, Q! e: `0 U$ x- }

& I9 x2 ]/ m7 v) V6 f0 a5 {5 `oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
" U  \$ n  g- R& ]/ E% [/ Y。。。
6 B, Q3 W( u( z. `
! ~2 c8 f, F& ?( g
厂商已经确认

1 q2 Q" d6 y, G" H[/td][/tr]
[/table]
1 P3 L; Z0 `  O) s! H
) ^5 x+ f' y# G" Y# P' g
' F+ w: Q: z) F, y