万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' P+ x" X  t+ o3 E详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


8 `9 t- k( D6 b3 ]: Y8 f3 a( E) ^500错误。

- X" |+ L6 G7 {; a2 u用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
3 H7 `7 c# a1 yhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
+ V% N) I& E  x截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
# q2 x6 t$ k. }$ ^* z
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
4 ?. \1 {  D4 n7 rhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
& ]' ~0 G, R+ {* h: P3 i- Y/ yhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
; o- C5 ^6 |5 \0 k
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
+ `; p- J& m+ c+ e
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

% V( J7 J# ?3 Q, v# q& y用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
( t* y8 Y6 d. a3 ?4 y6 C% Zhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


1 H; K. y6 N" K' k（截图有一点问题）
( S7 k' j6 z2 Z' h( `5 F
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
/ Z" q) Z; T4 C- k) u
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

7 j4 R: V& |2 l( Z- B
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

. n$ _5 r; Q! k$ ^修复方案：
。。。
  q" p9 }: w) V7 K& T( d
* S, R6 v  A( ~( j
厂商已经确认
' k4 f$ n4 y; \
2 M; q$ ]5 U4 I3 H[/td][/tr]
% h# ]/ z" _8 H# S. r[/table]

' _' n' b. q& D/ g8 f6 X
" u/ Y( ~0 H2 y' O