简要描述:万达某分站sql注入。敏感信息泄露。
9 a O; ]0 n1 x) F& H详细说明:# R' ~3 q/ a: Z" S7 r7 a8 }7 _
万达scm系统登陆框sql注入。; G4 V" }5 ?' R8 _8 ]# C
0 t; T; b( ]2 c; ghttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27; b! u: z& v3 @' V- j) _. d
* m7 F, N8 Q6 F, r! l. b
% U6 u5 \' Y' O) l500错误。: w0 p; A3 H B7 X1 Z
& \+ Q' S& U3 q$ `. |+ O% R
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
, y$ b, n1 v5 O/ C0 J: t6 Hhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
: O& Y- h+ n s% w$ u& K截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
0 B) e. t! X7 w# t" P! a! M8 N经过分析,登陆验证的过程应该是:/ x% A9 E- }* G) n
7 |, T& a8 M0 J% z! Y1 |
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。6 ]' n7 o& x% I6 u u
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png" t( R* d1 T8 P4 R4 ]
l7 B8 y. Y7 S) v- Voracle数据库,存在注入点。@大连万达,你怎么看?" K2 f. O2 L7 K& l( d
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png ]8 S( F' W( a* x% O; F
e# j5 P# }. F. {# X2 X系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。1 |9 S9 r. \2 O6 `5 i8 C8 W
漏洞证明:/ `+ T5 W Y O5 ]- ^' n
万达scm系统登陆框sql注入。9 K4 i: ?; C6 @
6 q. d3 [7 Q& `9 i6 M: T* `
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
W- |5 m& y+ ?9 P6 f7 u
5 `. q3 N5 W, V; D2 c. @6 R7 [3 G
500错误。
9 A# V$ l7 S" R0 a4 s6 j p: C* R7 U W1 g- U: N9 [
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 d* Y; r& |6 f; ghttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png6 F" ?4 C7 |+ k9 @( }
. p3 p k& n8 A R2 Q$ @
- m& D L' F6 e(截图有一点问题)
2 O$ F0 l: Q, m9 x6 p/ ~8 M% }7 y
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:; _+ C& ?% \" Z! i& z2 b
& `! L) {4 z8 ]& X7 a& B1 Z: h
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
# x! k, E) v7 @, ?$ B' Y% I9 C, b
绕过:
6 I4 ~ R, ~$ x1 ^0 Whttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
y9 z+ a& x$ d, r5 o
7 k, q, X/ m# e: C3 D! [ k' h: W# M' b
oracle数据库,存在注入点。@大连万达,你怎么看?+ B- M9 u; \" J. U. S. j. M
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。( G5 S1 V% Q& K) ?9 u& z# X
# S' G1 @ f6 R5 l4 o! J& D! ~' x修复方案:
? p, N, j1 S# q O% D。。。
- p& o4 ~# Y4 S+ A, W& }4 ~4 w! m9 w' h, _/ P
2 j5 x. @+ ?6 E1 b1 u; y
厂商已经确认$ ^) o( u, g) Y
( v+ H' Z# m& z4 e: {) p+ R
[/td][/tr]& V1 j( ?$ h! W' f. B
[/table]
- X5 y7 i; \+ l$ o
/ F+ @7 j; _/ \: [" u# `+ m3 U4 V8 J: S, x' r7 h8 j1 Z% ?
|