万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
9 a  O; ]0 n1 x) F& H详细说明：
万达scm系统登陆框sql注入。

0 t; T; b( ]2 c; ghttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

* m7 F, N8 Q6 F, r! l. b
% U6 u5 \' Y' O) l500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
, y$ b, n1 v5 O/ C0 J: t6 Hhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
: O& Y- h+ n  s% w$ u& K截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
0 B) e. t! X7 w# t" P! a! M8 N经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

  l7 B8 y. Y7 S) v- Voracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

  e# j5 P# }. F. {# X2 X系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
  W- |5 m& y+ ?9 P6 f7 u
5 `. q3 N5 W, V; D
500错误。
9 A# V$ l7 S" R0 a4 s6 j
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 d* Y; r& |6 f; ghttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


- m& D  L' F6 e（截图有一点问题）
2 O$ F0 l: Q, m
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# x! k, E) v7 @, ?
绕过：
6 I4 ~  R, ~$ x1 ^0 Whttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
  y9 z+ a& x$ d, r5 o
7 k, q, X/ m# e: C
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

# S' G1 @  f6 R5 l4 o! J& D! ~' x修复方案：
  ?  p, N, j1 S# q  O% D。。。
- p& o4 ~# Y4 S

厂商已经确认

[/td][/tr]
[/table]
- X5 y7 i; \+ l$ o
/ F+ @7 j; _/ \: [" u# `+ m