万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
0 f$ W6 b2 D- }4 I. _: t详细说明：
万达scm系统登陆框sql注入。
  Q4 O) W2 \3 I- v( o
$ I* a+ Z& o" \& Q1 r+ `http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

/ Q/ O7 d4 k8 L8 x" `& {
' q* i" C) ^$ O: S3 ]500错误。

  d% x9 r2 h0 F7 X用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
+ f/ W0 n9 l, k6 F0 W1 U( Chttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
* I( J, I% l" z# l) x经过分析，登陆验证的过程应该是：

& @8 u" I  Q9 [+ i) a取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
; {  `* h' Q( d4 ^$ b
oracle数据库，存在注入点。@大连万达，你怎么看？
5 Y1 W2 K9 O3 w! Z' Z+ v3 Nhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
0 U( O/ f# |( L! p+ x8 K4 e! G. r4 [
* C% i: ]2 Z! Q( ~8 p4 [http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


+ Z. d2 G+ v4 X0 A! [; U" p500错误。
# p/ \  j) A, p% o8 Z
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
8 c3 j  C0 u) H& ?8 G& N
! n# X+ c3 ^( Q7 q, c+ M取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
) \( b; Y$ R9 y7 t% t/ \( B
* B4 I$ w  |/ R绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

! c3 r4 d  z* _4 L8 i0 k- I修复方案：
% o  c  r) m- f( ^  |' p+ Q8 [。。。
: Z: {- v3 H% P

厂商已经确认

[/td][/tr]
[/table]