万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
0 [& x  }3 B; O万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
* z- R9 U; ?( J0 L& B4 D6 a
5 c( P  v) ^2 h用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
# g% p8 T& X0 {5 X* H2 m- f0 F截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
; v4 {) c4 z6 |经过分析，登陆验证的过程应该是：

5 N$ k; I( ^! n) h7 y取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
( Z7 j6 C- u0 o; Q& Ghttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
1 @4 M/ e( F  D* _: H) r2 A
1 N0 E& s4 W7 g. g! b* `oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

) y( j: e4 |2 q# E2 R) l: v系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
- z: A/ O1 [: @/ g! F# M  U万达scm系统登陆框sql注入。

9 m4 M! }8 t1 v9 N* w1 mhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
9 U$ e" x3 L; |# l
, E; j. ^$ g' O7 N' J. L* a7 W% a用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
/ D) I3 z. p5 q) r: r% ^http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

) F. [  s' e2 N5 F# s6 _
: h9 S9 |* }: I! d（截图有一点问题）
8 t: E/ I8 j( r) N, M
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

* g9 L( g# I# G* A; X取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
& r, q  `) O' Y: x
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
$ Y0 ?6 C# V4 X8 |0 n5 s8 S9 m) x
; i+ u7 k: i* ?3 }5 Z7 J- h
oracle数据库，存在注入点。@大连万达，你怎么看？
7 w1 x4 h2 e, T2 q​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
+ Z5 l, \/ C2 d8 q% w
修复方案：
" I" {. W8 u/ q$ W- m# Y。。。

2 K; r, I9 _9 ~* C/ X
厂商已经确认

& J2 P" r" ?, k* P[/td][/tr]
[/table]
' I. U+ w. T% E: H5 r
' o" k- d$ {2 j* O" [8 N$ L4 F