万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
, l2 Q" U2 G  W* ~; }详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

; h# `$ H7 \# v; G( ~# Q
# w  l+ r$ @5 Z% R) P- M500错误。
2 n0 V+ F) H$ j! Q+ c
9 n8 l8 ~; S; t5 s/ \: A用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
1 F. y7 W# p, f: h- jhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
5 Z2 X) {- u3 j1 v* u0 w3 y" u截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

3 m$ O3 d7 X" M  A+ B5 Q5 @取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
: E2 z5 t+ x# T* d& R6 Ehttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

& {! u5 Y, @2 S8 n9 C系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
. I- h. w/ o, r' j( H漏洞证明：
/ Q( z' V. i$ m" P) _万达scm系统登陆框sql注入。
2 R) e% m% ^- J% V5 ]
4 h% J: s+ x1 @9 J' Y7 lhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


) B2 o# e8 p) i- e3 x500错误。
+ A1 m/ Y* k# A! Q5 R! ^
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
6 U. c+ H% }. T9 zhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

8 }, E. U3 u$ s6 ]: n* A: U) f* l
1 M& T+ x# `3 Q) j8 l2 n0 C2 o（截图有一点问题）
* r7 ^* ~; d) ]  `: f4 @  _/ G9 y4 ~; o
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
+ ^8 ?: G& ?- Z
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
5 ?' ~% v0 \/ P8 ~  p  t
7 W3 e6 B5 J( x( l/ l0 n, ~绕过：
  x0 f8 {7 O, v" n3 b7 z( |http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

5 N  x9 L3 I+ y" R. c3 i( \
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

0 h3 I2 \. i. R8 e& k* v& u修复方案：
$ Y4 c  j+ ~6 i# m) U7 s。。。

8 ?( g) U2 x8 I; O, K+ R9 V0 @
6 w6 R5 z3 N* b0 M; f4 C! k/ Q厂商已经确认

! t6 r+ N7 |) P1 V5 u2 w+ Y1 N[/td][/tr]
& y6 h2 g0 ^" h8 q- |8 o[/table]


  Y9 B$ c/ \( C) |8 R2 w# w/ v