万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
" h- L. D# n: H万达scm系统登陆框sql注入。

. M3 ]( u6 V, x" \, Fhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
  w. D" E: t* T* \  `9 ]" t
+ x( b( F' H: A- C
500错误。
  z+ r$ a% C" ?
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
# e' h3 N0 i; r$ }  y+ o经过分析，登陆验证的过程应该是：
5 ?# I3 R7 z8 a# z3 |& Y, U+ Y! O
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
! ]7 K3 T& A2 J0 q% }8 ~% l7 ~http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

+ A. p0 _; P& ooracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
* m# h! F2 A+ B3 d8 F2 F3 p3 A
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
: D! \3 Y" t1 e, n6 E( j: V
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
2 m8 s5 S. b, ]0 n; O
) ^; G( q( ?6 I, \' x
5 z; }" L1 h! K( i  G- q; t$ ^& G500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
9 M) X8 V- f2 ?- Y  g3 E

$ p! d* w$ [7 K/ u5 I（截图有一点问题）
" b8 s* t4 M1 q( Z/ R# X
  a) ~" m# @# Q( B怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
& N! Y6 {" m" L. x8 C6 l. R。。。


厂商已经确认
9 ?, }9 h: @  ?3 R+ q" r
[/td][/tr]
7 U! R$ y+ G$ [* i6 v- p/ V" q[/table]
) x6 Q9 \$ l0 e) b3 ^3 z' R& S