万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' i/ i; r$ b$ k! v: l: Z# @0 N3 e+ ?详细说明：
9 `- ]  g1 Z8 q" \3 `万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
. w  [1 s9 D& c
! [2 r) ^1 b! }5 T" z: Z& Y0 c- d/ Z# g
4 b5 [& r+ r2 N2 w$ c' {% d500错误。
% C8 a8 w" e6 f4 d3 n. G8 u
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
% T2 G, b2 A  j- m, c2 y- E$ X" chttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
# X  \! V4 }$ V( [& B/ X; `截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
' ^# q; c1 u# ~3 \7 X4 |4 R
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
% _) \6 j- t% k% p4 U, `" F0 k$ y
$ U8 u( e0 L7 Z; Eoracle数据库，存在注入点。@大连万达，你怎么看？
' P" C6 m* y0 @- y$ i. y/ V9 Y4 Shttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
+ G: Q0 m. G) M漏洞证明：
+ _3 H) j( g0 I3 |$ q' V: D: h万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

" p+ G# @5 @6 w, Q5 {, Q
/ H* a- ^8 a* X  E. F" D2 ~( O* p3 P500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
2 e( W# A( _/ T2 X- V

（截图有一点问题）
8 a0 L- I& u+ q! K& a  w! }
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
% Y* c9 [' H# S6 W
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
- e( C% h2 ?9 T- O; K+ [
$ P+ R4 z% l* l8 U8 B# l绕过：
& f1 J% o/ M/ M& thttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

4 A2 e, E( |0 Q$ w" t* W2 ]
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

" J& o3 S% O4 `! Y  x修复方案：
。。。
; x" n- m' w2 o5 w: c1 A. o' o+ g, _: f% V
' M. Z9 e- ~4 v7 s6 q+ }1 [
厂商已经确认
! R+ @5 I$ L# a" m: ]% h3 R
[/td][/tr]
0 Q; |' S' ]; L& x& x[/table]
) T8 Q  s9 Q. i0 D. @0 A6 E  d
$ N5 \3 A- U% H8 G& }