万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
4 X+ [, i4 a$ t1 \; ]详细说明：
  [/ J# q0 G) w4 G" Q万达scm系统登陆框sql注入。
+ b0 G* z  w6 p$ i# L" f0 f
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

  |! }$ f+ j2 }  L6 X2 s2 e
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

* B& ?5 l+ H4 s: I- O取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

6 Q/ t$ O  H( H$ N/ a7 Boracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

- {& i( T. R! ^3 e系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
# ~( f4 U! Y* T. U# p万达scm系统登陆框sql注入。
. ]  x- {* ^, `8 h
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
0 t9 `0 c% k8 Z$ r) e

500错误。
0 `: P1 V' {6 \. W5 z& q# X
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
* B) f: i9 I8 Z6 D1 I1 u2 h$ U9 M6 K
# S0 S) ^8 w. q! S/ {1 T
. F6 |, h& F5 Y. n6 x. p3 r（截图有一点问题）
6 L* [7 A  I, j# R/ g' T
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

" V+ h: ~7 ~  Y绕过：
8 n1 s4 T/ e/ uhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
+ P2 {+ j0 k5 `1 g$ V0 @" _  E  Z
: o7 }1 S' D8 M, r
. S$ |# J1 u& \( @* U* t! aoracle数据库，存在注入点。@大连万达，你怎么看？
, R$ \3 z$ ]7 J. [0 A7 K6 `; t​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
! z& v2 Q! t1 t( b* i& R% d
- M" O0 y  e/ D1 m- G修复方案：
1 ~. W4 m/ d' S8 B# I。。。


. ?0 g* V* q  z) N2 D厂商已经确认

[/td][/tr]
( p  b2 ^" p0 Q5 M[/table]