万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
5 c: H0 R( n- B3 y1 o' w8 K6 \% f详细说明：
万达scm系统登陆框sql注入。

! o. ]2 `% N; A, _" khttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
, ]8 ]+ x1 e7 m+ g0 P5 d' T: o
# o9 r- D1 j& e
- r  ]( u/ _" l$ \- J7 s: @8 L500错误。

8 F! j# @! a9 Y/ o, s( E& I! L  U用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
  ]8 S4 B" W4 k截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
, Y, ^8 l) l( h; w' U% k
1 u7 ^4 D! @. ]. X取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
2 K& s1 _: ^/ ~  bhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
" ^7 b( V( s- g# G) }
7 H2 Y1 g. m% f( p% o: Q7 d6 `oracle数据库，存在注入点。@大连万达，你怎么看？
) `; z5 D2 F. e6 Nhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
0 X) S' T: [, u& C" k& y; ~& x漏洞证明：
万达scm系统登陆框sql注入。
+ @, O% m; \6 u% D2 W
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
- q! V8 I$ z9 u; T9 g% {
& l3 h0 D6 M# }, B- k" ~# h) N
500错误。
  L" I) G: i, B
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
* p+ X8 x& H8 J# j) c- v: e9 q
9 b: ^7 K# N3 i! D4 ~; \5 A( U+ y/ ?
（截图有一点问题）
) X% L; v& K$ i8 E! W
# M$ x3 T! U  A% k! L. l0 l3 c怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
% P! r! Y1 T- s3 o
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

" @0 p# g/ q# b1 F( _% E3 y绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
0 b" v% `( A  D  H6 y

oracle数据库，存在注入点。@大连万达，你怎么看？
/ K- A4 k* {. p* r4 P: y: R( R​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
+ ^1 r" P3 x+ z6 `1 {9 \( Q
6 ]  T9 j; _7 |. A修复方案：
# I5 L# B5 E2 ^$ p4 P" R- M。。。


厂商已经确认

[/td][/tr]
/ s) d( O1 j/ C, t& K  o' Q4 |' Z7 e[/table]

9 N+ N) p7 B4 t0 Y. I
  G( e0 B5 Z" h& F, v( e