万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
1 g$ z; Z' R9 P( U, {万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
9 J/ h7 N7 n8 @  d
7 X5 o! B9 `$ v/ D, p
& [. V; U  t. u$ y( o  c* w6 J$ Y+ H500错误。
& u3 y! P& M& H, {/ s9 m
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
1 _9 E  @, r4 G8 P' {http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
/ K- k& I& z- }/ j截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
$ y$ c: o" |1 T7 Z5 K& H- ^/ ^
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# p: @+ C5 U. }1 G" Ehttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
% S# e: o2 S3 y  X4 B( q, y2 ^0 M, Q
+ J& i7 c9 a+ x4 @. {oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
# h# Z0 h: _. J) Q$ ?漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 o- l- n! X: j# I3 t: d- _

9 M% D+ k8 E2 {9 [+ b4 R500错误。
' n" H3 l) h2 D
2 F- ^" ~- o( p2 f0 k5 q5 v6 @用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

  I; A3 h8 J" f) Q, V, g) A# U
; i$ [; X0 U+ t1 l5 y1 m/ U* I（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
$ @. Q! H5 c6 [. j. D
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
0 y( E; L  }9 I' f# x. Mhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

8 n4 f) ~4 `" T" L! R
0 u3 v" \$ A9 _. }oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

4 u. B& L# h( U! k修复方案：
。。。
3 r: I; X. d  k. Y2 w1 C2 G

厂商已经确认
: a# M4 z& v8 _- H8 g5 X
[/td][/tr]
[/table]
# [+ K! X( R/ m* a& E+ k5 i