万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
  o. f! T6 }2 T" ~# e( F详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
& q* k' B7 }' M

+ E  ]0 h* |7 `500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
- b% J7 @9 h9 M. {) bhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# n1 d' l6 w/ G6 l7 D' Ihttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
# w, q9 `" |! g# J
5 M* j* q! M; J" ^8 noracle数据库，存在注入点。@大连万达，你怎么看？
! k0 X+ Z" ~* T0 h2 Xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

/ g/ T" A7 R# s5 v. Q系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
. i1 n' A9 Y2 a& w$ t; O万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

7 }) K. t4 ]# j8 z7 b0 Y! u
) r1 _! B/ |! ^/ I, N500错误。

% @( t7 |* L* C% j6 k用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

! @" r( {2 B0 [* W; D; W( S2 N
（截图有一点问题）
+ V% L- f' ~" s. Y
5 Q+ X/ N0 T0 Q  B* A3 e; n8 u( Z怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
/ E9 D$ L9 U% c( Y5 u
& d5 R& O# I3 F' \- \9 o* _+ f4 y取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
9 F/ H+ y5 c7 p; ^
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
4 e2 U% ^2 y! v6 o% o" P' f! i
3 F- S, Z+ n5 h: J3 v5 Q  A7 ]) E
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
* a, x7 j# W$ e4 ]
修复方案：
。。。


厂商已经确认
8 l" ]* {1 s* h/ ~" r, A0 [
[/td][/tr]
! t* q& O9 w$ T; q[/table]


/ |2 d& P5 [- X- C