万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
1 l+ c5 Q& \7 N" y: g) c详细说明：
( X5 ^, l: H9 w# `/ _8 \5 [万达scm系统登陆框sql注入。
! E  M& R' X+ C* a
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. z# b2 S2 k8 j0 F4 Mhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
) g* _: }( G3 z7 n; @: l截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
4 k- ]% q/ V% c经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

* C' g0 I# l2 |( j- roracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
: a) {+ D) w4 `- |( E& k; s# }) W
; @1 g+ \9 w; c) F" p系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


/ {5 A( \* G7 L+ R; a+ u) p* Z500错误。
( m5 b/ m" O0 I
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
: X# [, S; ?, Q+ D3 C* g# Hhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
; g, c1 e; P& l1 n8 a3 J0 E

（截图有一点问题）
. L- Z* v& k) K/ Z
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

0 M; H, R% Z' o$ u取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
# J$ ?/ t, y. }4 |1 b% W& `1 D( J: v
; ]' l* s7 W4 F- s& D; d
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
$ x/ z* S; [! g  d
1 A- d  u4 W% C修复方案：
( E% B0 H4 n% S。。。
' H4 V# {( H% Q3 K; l

4 ~: f, b+ J1 Q. {) F) V% Y. K厂商已经确认

/ l" u. z8 d2 \! s( b* m[/td][/tr]
! t) g5 |) Y6 Y/ C9 j' \2 O) R[/table]
) m0 v2 `. S3 e7 p3 ]

$ u8 c: B  @' c1 [7 T( Q3 ]- U