万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
, Y/ e$ C+ t/ T( k/ ]3 ]详细说明：
/ Z1 W( H" H4 l* Z( Q6 p万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
3 j9 i9 F8 W: v& \; q( r4 H
6 n" n. V/ \  r6 s
8 l# O* E" Q. z8 \500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

9 J9 K& a- [4 o' z取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
  M' x; H. c. C8 a8 uhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
! u9 y# Z9 g7 f4 Y
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
- z- N8 z9 I- L: V
0 }) w# D: {8 V; y6 W( F系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
. L- \% E' k: _6 |- X, m万达scm系统登陆框sql注入。

$ Y2 R( C' Z0 V( y/ H; C3 X/ Thttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

. r+ V) X3 ^) F) p
+ y9 j' J. s+ b" {500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
8 k  n$ j/ ]$ S/ b3 M5 p7 @
* z; [+ ?" L. p
（截图有一点问题）

: H2 y1 f$ l& Y3 E/ M怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

3 f; y9 h. R  ?8 W# }+ B  W7 R& l6 m# S取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
' ~  O0 k2 i' {# o% d
$ l2 v. w% D6 U' ]  P! T0 A# I9 e绕过：
- R9 |2 Q) X( |http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

9 [  x0 |5 I% Z2 G# F
: J, f  f% ?" E5 X$ {oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
# V$ H8 B. ?5 n0 Q8 {& C( e
修复方案：
。。。


' v, G7 P, B# F5 x1 _) e1 l( Q厂商已经确认
; ~& V; S9 _7 \
[/td][/tr]
[/table]