万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

% z! d% }$ o4 X7 I" d+ n9 v6 M3 ^+ Phttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
6 \/ [. \5 Z5 A+ L; ~

: K7 A: a; ?& |# h500错误。

6 u  l* g# P- F/ Z$ d5 I- Z用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
8 m3 e0 M: ^8 X" x8 J8 j# {$ Chttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
4 O9 m! f0 n% b0 n( r: I, [经过分析，登陆验证的过程应该是：
! o: f, g: a6 n+ o
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
9 y4 d# T( d, |1 @4 s; e/ M+ B% ^$ f
+ u0 U, H* P% \  t! U6 Z8 a& l- toracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

; Y1 C# g6 j0 j4 C2 e系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
! _, v. q2 U$ i( F7 ]万达scm系统登陆框sql注入。
+ c3 i. A1 I0 F( z9 o" V" X1 k
* @3 n2 C( k) {4 ghttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 k. a4 F/ _  n4 V

  f% ~8 n9 @! w0 ], t500错误。
# p2 C$ j9 K$ B$ N5 s+ c/ Y& `
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

6 d/ g- n5 }& }
（截图有一点问题）

( {* Q' }& O- o: o- L8 g9 m# A怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

6 y2 y- N( ~$ Q& R) C取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# |* L8 ^" Q% n5 l: _" r
绕过：
7 ~4 e, V: W) A, bhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

) a1 G3 z0 Z5 m( K' r, W$ A1 g
( C! X, I& j3 C5 O+ V6 Ooracle数据库，存在注入点。@大连万达，你怎么看？
, Q6 B/ Y. x% n' r​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

+ V; v; k# [" y1 N  Z  u修复方案：
。。。
( g5 A$ R2 X9 N
) }  ]) ]8 g! B$ z. U1 |% }0 s
$ G" F( b; j% I5 u厂商已经确认

[/td][/tr]
' x1 H# m3 Q  k2 ^$ z0 E: e/ I0 `[/table]


* X5 S9 G/ |, f9 K+ s9 s