万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
2 o3 `! x! ^! U3 z4 y5 k详细说明：
. L/ c8 [+ v7 z& A9 Q$ s; i! r万达scm系统登陆框sql注入。
6 M4 S3 s" \* `: F" n7 B+ k
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


; V: c! w5 J( Z; a6 R500错误。

9 l; U" [7 ~. H7 z( N6 @用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
9 t; N9 U+ b( q% i- r截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
6 P- |2 C4 g% M7 g; ~& |经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
) @6 x1 y" a' Qhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
  D9 {0 k/ C$ w4 n" E+ g9 Q
oracle数据库，存在注入点。@大连万达，你怎么看？
' r; _) N, C$ d- T  Ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

$ u$ E, I) V7 I系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
3 y! m  d$ H9 i+ r# A1 n, K) J5 K万达scm系统登陆框sql注入。
% H. x- r- h1 L5 j$ a
0 s' y7 f4 `+ Q- d( zhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


, _8 `5 ]. ~4 G- ]" j& b500错误。

! m+ o, I! E( c/ t$ b用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
( z+ ^" `3 \# i$ M$ h/ ~" J4 ^http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


$ f! R  W0 r, q4 c7 v/ m3 W（截图有一点问题）

) }8 V/ e$ X& \怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
& N/ v" F! J/ K4 E) b8 S6 V) _
0 h  v/ O( f; m4 b- l取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
* e" e6 d& }3 Y" I: s
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


) i# W: ]+ u6 {- d4 W8 ~  _7 Foracle数据库，存在注入点。@大连万达，你怎么看？
6 @4 o" e) M# n+ B: g​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。

4 L. q- X8 [( f
厂商已经确认

. F0 _# A3 S% [) f5 B. ]6 x* K. s[/td][/tr]
( }/ m  }9 _/ b7 a+ O" k[/table]
/ D9 [; Q/ N3 J5 d( C/ v+ Z" ^0 z3 F4 o0 t

# k5 D/ N4 K) }" ^* h' j$ w3 U