万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
# a7 t$ M( ~' G5 ]1 O$ H详细说明：
9 e+ ]1 t/ M+ W$ S' B' z万达scm系统登陆框sql注入。
9 u) \: A7 ]1 T& Z7 X) d. g# w
0 L5 A0 z$ I  Q+ |http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


9 {- N& T3 K; p* `500错误。
; D' w$ X# I- f, E+ [$ q. `
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
- \0 f: \1 a+ E& k# Y6 z& E8 I; r8 p截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
) R6 l, b5 B+ \" [+ y  s3 _+ I经过分析，登陆验证的过程应该是：
* p7 |, Z0 K) Y, g' d; a
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
  Z" B6 }# f( R& p' m% k( m& m
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

  y* Q, Z& _) a0 D% C系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
& A& Z: N: S* P% O漏洞证明：
万达scm系统登陆框sql注入。
) k$ H9 J3 F4 g# s( `
0 M* r- e1 G  w1 o9 P# A% E# Vhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

+ Q7 ]/ L0 k4 Q2 E" A4 d+ z
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）

/ C$ j8 I" G/ t+ g- \$ z怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
' [) R' b) A  d) H+ W
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

$ L+ h% U2 ]3 H) @% v6 p) N8 a绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
% a; o, S# {3 F! u
" Y. c' O! i* R' f4 x
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。


, g" O$ U% i- U& d5 ?/ R- I厂商已经确认

$ s" {: V( D: O2 V8 ][/td][/tr]
& `# O# i) R! l% B[/table]

1 @: y' a4 s9 w. ?4 ]