万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
9 I% i. ^( G2 M; T+ n# c- p# h! [万达scm系统登陆框sql注入。
8 S! {( A% a1 P. v2 C- \- B8 D
% j! g# B* P+ R; W* [http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ V1 j# B" W3 [$ }% }2 F
1 Q- ~3 m. \* G: _- r/ k6 A
) L6 Z! Z8 o% F' D8 X500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 s- N0 F. y( e% U) Yhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: _) }% m  w! q3 Q, L$ khttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
7 i# L9 D) B& V1 u) W9 S  G5 Z8 ~
) `( Q1 h9 o$ y1 f9 @: Aoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
( d8 c/ _+ @0 Q$ o/ X$ x2 t! ]9 X
4 C2 r; w4 ]5 B系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
5 h8 J0 L& ~0 H+ T/ g% D/ g漏洞证明：
万达scm系统登陆框sql注入。

. p; N, e* n; ?: e5 A; {) m- ahttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
0 n$ Y" w% l0 z/ ~: R( V: j
( k0 Z* I! j- e' u! n
+ y. I6 p! h( M500错误。
& }1 M9 K7 a! p6 q) i
+ e) q$ A) W. C用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
( l9 K! p. [6 y# Q) Khttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

3 B0 e+ F+ G0 E: B, A2 J; M
9 M. _# F* v' B: q1 j- a, X9 }" S( n（截图有一点问题）
) s5 q. n' z3 Y. a- m+ Y. X. v
4 f/ {9 s* J3 h8 {3 I怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

2 ?) }; K/ l+ _) u  F& u取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
9 C" @  z2 i0 U' P% H
# `0 I: P; y) @9 b绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
8 Y7 `0 W4 p" i8 ?' D

1 w" {$ W6 _7 @4 @  a0 h* woracle数据库，存在注入点。@大连万达，你怎么看？
/ b- a# z8 x2 D% m- k# p​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
4 ]8 c4 ?% d) X3 ~  g
; E; b0 O, i, {7 h* ~1 h, R. j; a修复方案：
. o2 T% m0 i; t' _& _, V。。。
2 |0 N% F. ^. e- c4 G' ?
, S1 Y# E$ t+ ~& E( H( A
" `. }! C0 W$ j( e/ [; {厂商已经确认

[/td][/tr]
[/table]


- h* y) D9 O! r