万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
8 l8 N, {/ |2 F. A  H. `* m详细说明：
万达scm系统登陆框sql注入。
0 O$ v7 w5 U% |- _
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
6 J+ L- N& h7 M! ^* h5 C+ _
0 E3 S0 ^. x5 ]6 W# ^; n! Z- J
% b5 d& v$ }2 d+ O0 V2 n4 i$ l500错误。
3 G- `! E% V5 ~/ H3 [5 l( p9 m
  p9 \4 M) d! ^7 U3 l用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. |) H. M* V* m  i; |http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
# d4 B# r6 e- J$ Z6 k3 T, M% f截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
4 x9 n  B5 Q: Q- [. {http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

. P2 K- h7 A2 D$ m5 \oracle数据库，存在注入点。@大连万达，你怎么看？
. J. t; h1 L% M2 ?6 |http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

# F6 p" _3 f8 |& I4 k- G& a系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
4 J- R1 K( K9 E# ?9 E
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
6 [1 g8 V# S  c" C  A/ \
0 y, L7 H( {, T( C/ }# X
* {3 S8 J5 r# n: X& F500错误。
- l/ {9 F( }1 L8 o
1 r2 |0 d- `, j) X& z用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
! P. v( u* s$ F7 [# Shttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


1 E1 y6 w6 A0 m5 e' I+ k" g（截图有一点问题）

* [% K! Q5 U! \1 Y) _+ k3 @" {怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

+ Q, R2 I' ^1 I, D1 [取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: f) d, }& N' L- X1 \9 D. C! c
- p  f2 M; `7 G+ p* U绕过：
$ P' S  R6 x+ yhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
7 ]$ C5 a; M2 p
" O* s6 i( ~: U- s# j& z" P
oracle数据库，存在注入点。@大连万达，你怎么看？
+ `+ l# s( m# s; B& G; f​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
8 o  q1 L  U  m。。。


厂商已经确认

[/td][/tr]
[/table]
/ U* s- h" e- {) @7 |) N0 @
* S9 p* `; n3 j, Y2 ?6 j" C