万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
; w( R1 P5 i- F* Z* q! c/ H9 M详细说明：
万达scm系统登陆框sql注入。

; N& ~$ ?4 j& y% Zhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

" k4 s, h* D4 n1 c& |$ W" H
8 W2 o, l' g  `  g2 \) H500错误。
# P# x! @% w% F+ v; X
" C* A! ~- n9 P* l用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
& F& N$ L" p; U! [' S% Thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
& Q0 ?+ ?$ `  e
7 e; K  S: s! j取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
! g$ h9 @6 {4 D) q, f1 K" |http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
8 D# u, l+ T% h( t8 W/ k' s% P! ]
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
6 C* P+ ?7 k2 N% F) d" b" m漏洞证明：
: _9 k6 c  i" Z, X万达scm系统登陆框sql注入。

& J! e. [& x. U6 Fhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


8 t' P6 W: y! K500错误。

" n! x) ?/ N6 ]- s( z3 Y用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

$ T6 i/ k) f3 X4 }/ ]% p
（截图有一点问题）

" D* _, U; c1 _3 P怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
6 T; m0 n. P) A+ W' s$ S5 K
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

6 h' _/ T: f9 f: _; g绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


6 x, x7 U0 v) Koracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
! [4 p" h! D/ i, n
修复方案：
, \7 k; p% V9 e) t8 I0 c。。。

% `" y+ A9 n* _& n( N+ g5 j
- d# y) u0 e# M, @6 ~: z厂商已经确认
% c2 f9 b, Q) I5 J
[/td][/tr]
" \/ l! `1 p+ M  J4 q) Q[/table]

7 a# J  O/ d& O0 w( y' o
7 x7 u0 B; }; _+ `