万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
/ D! {: B5 c9 x- l万达scm系统登陆框sql注入。
& H! C/ @7 V2 f7 N+ m# ]
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
% G" }! R, ^3 A! rhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
6 t) N2 j) ~! a8 `截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
3 K7 Y  l. Z) y8 ~/ y/ u
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
, [7 `+ w  f0 G' F+ r3 q
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
/ F" k% C8 b3 ?  \7 ^万达scm系统登陆框sql注入。
; L; u' B  b4 ]# |  O8 a7 M: ~
6 [/ ~- A  h/ m5 P, o# Ehttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
: q1 v4 x# J! C) M0 l6 B% p

500错误。
0 G: t) z9 H3 h7 L8 A, L
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


4 P+ n' M8 n4 y（截图有一点问题）
) c# L! c( t3 \; o4 r; g: H
) ^3 s; U: `) `7 r" t$ |怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
( A! a& j! Z% c/ I1 ?9 G, e
3 Z6 [1 a2 q# S1 R/ Y取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
% h1 Z7 I. ~7 K2 G4 S- w
绕过：
! w; X: X* r2 Ahttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

/ q3 Q3 ^- U& c# k; w' w
" E7 g! ], E- O2 w$ Y2 }: }; doracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
8 F# L7 u8 v; Q
* I& \9 G) K3 o1 W5 g) A修复方案：
8 V- W; U( y4 E. s& f。。。

" P4 |% S2 k' C5 L1 X3 n& u
$ d- L9 h- n- g2 p& M. f5 \厂商已经确认

! E2 N) B( N0 Q1 S& c' X5 |( H/ }" l[/td][/tr]
6 \2 A* {5 ?9 J: n[/table]
+ e" n* h4 B% W, u1 m

' r) o1 H: u/ h$ @" d