万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
" r' b9 |% S2 }" a6 H8 l, g万达scm系统登陆框sql注入。

$ \) h9 L! d: U  c/ Phttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
$ D; m0 I5 H5 ~3 R) L8 [# }
& a% q2 c* N+ v# x% r. F
500错误。

/ x6 c% e! m& L3 G' W, _* |用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
$ v" n, e2 N- e* |. s5 Whttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
" Y6 e5 s4 S% Q2 T+ {/ E$ z/ R3 M
; N9 m% G+ M$ [& N取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

  F/ B2 \; e+ c- H5 s& Loracle数据库，存在注入点。@大连万达，你怎么看？
$ X3 y+ I! N6 Yhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

( `& Y8 f, C$ r* Q系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
' \+ \3 D2 s+ E  x/ o
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
* v# k- k: T: M/ X: O; W
& J; W: I/ L( o$ C( g9 K6 j9 G) G
500错误。
4 j6 a! Y/ h- w( s7 I
+ H& w$ F. g* [& R* R用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
4 Q6 z- F. J% t5 uhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）
( P& Q2 |7 s: ?' ?$ K: g' k3 `
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
6 d: b9 z% }) i: w5 C2 Y# {8 V2 B
0 O! S6 z  s1 x7 R  L绕过：
9 Z. m6 `, y0 r. y( W7 `http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

2 g. D& M7 X! d$ e  l
oracle数据库，存在注入点。@大连万达，你怎么看？
2 D* G% F5 ?% h# `+ q( D7 k+ g$ S​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

  E6 f0 ?0 N. G! m, q- J! {修复方案：
0 k- b. t$ f& l3 q. Z。。。
2 T; f, q9 [$ Z6 H$ w1 u
" A* U$ S* Y9 e  B5 \+ N. a
& M6 J2 V. ^9 H- s厂商已经确认

[/td][/tr]
[/table]

9 [% \0 i" ~; u& I+ C/ X