万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' G9 k# t# \9 k& W) X! m详细说明：
万达scm系统登陆框sql注入。

: M3 q0 b8 m% |8 d" f+ }http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
9 k; q, b- d$ T8 Q9 Z
: h- P* n+ @) _$ ]
500错误。
5 ^6 w- b% [/ a# s
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
6 f* r, Y  D8 z  V截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
9 W2 z4 [3 \8 P; g. C1 \! b经过分析，登陆验证的过程应该是：

0 M" Y! Z* A! j- l1 V取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
8 {% b: t: L5 J9 l- s
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
  X& j5 I* O7 g! f) Q
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
; T0 _- W( B# Q. Q& @7 p, T1 p( `7 s" k漏洞证明：
  [5 E5 n: I  I+ i- Q/ T# L万达scm系统登陆框sql注入。
1 x0 l" `5 L4 K5 R! @4 R
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
" e/ L: R5 w; A  E6 i4 ?
2 q- W) i$ S; I4 ]! |, g" R; I
500错误。

) e( e- m# l9 j4 l* c( `6 Q用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

7 P' d$ |8 ]# `8 t& R1 Y
（截图有一点问题）
" i! h2 E+ N* Z
# l2 B9 J! x$ X! q2 V/ f怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
  y5 Q( R" _5 U  v  ~
8 s% a; N8 D  k3 _- X% e6 e取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
" I. |7 I8 T6 q( A8 i$ j9 H$ uhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

% Q  T+ f! M3 a) t- g" }
oracle数据库，存在注入点。@大连万达，你怎么看？
4 o0 D9 a9 S; @" @% H4 u; x​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。

) p& |# M3 f2 Z. |1 W' }
, ]% U1 p; }+ j+ J厂商已经确认
, ^0 s; A7 v, g  `* P+ f
[/td][/tr]
1 v2 [1 O0 ]+ q[/table]