万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
8 ^9 Y  ^# U0 K$ n& }详细说明：
. c2 ^6 O6 t1 F万达scm系统登陆框sql注入。
  u3 z1 e$ h& i; e) x
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
- T4 w0 d. t0 }4 i; P+ l
$ L5 r/ [) X: q! I* \% A3 ]2 T% F( d
500错误。

6 s* x7 s$ o; V8 R1 V8 S+ u2 P0 V3 N用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 m; E2 {3 X* S1 uhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
0 p5 U2 l8 L* ~0 B截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
8 B* u5 |. N- R1 O1 v, T( M* q0 ?经过分析，登陆验证的过程应该是：

' O+ j8 s. c. b2 @8 T7 R6 P" B$ `取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: l' v! P$ K9 M5 _http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
: R! ~+ j! e( Z7 b* p8 @- i
+ l! D- O# X) r5 z' y" Qoracle数据库，存在注入点。@大连万达，你怎么看？
+ S" {, S: R( Hhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
) `/ l, U" l, c: ]# Y万达scm系统登陆框sql注入。
7 s* E" D. x3 n6 Y  S
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

& `9 F7 t) o4 C, F! K* O用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
% k9 Q* `5 [7 {: ^http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
7 e' J8 {. H+ b; g6 H% |
2 {, F. Q# k6 l/ U  G
（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
5 B5 U8 W7 B9 O0 P
; y4 }5 R% p" }$ o- _2 ]取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
% w# _% G( [) W% E3 u2 ~
' T5 U$ h; k" H: k" [! ~4 a9 t绕过：
# d' M( F- f8 Lhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
# D6 w) A0 U9 w2 H
0 c' B" r+ ]& V& m) D! }7 \/ E
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
% q" P+ m% i! M。。。
, c/ \) c# T2 |, D- N

厂商已经确认
# L% H, y/ M1 \; T
& _2 b5 w# _4 X# K2 g: U[/td][/tr]
[/table]


: q) Q) S  a8 E' N" d- x0 L' f