万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
8 K. E, v6 ]4 Q' ?. w详细说明：
6 n% L  ^1 S# O3 [1 s% N2 o4 [万达scm系统登陆框sql注入。
" g0 v9 ^2 D3 d6 Y2 j6 ]) J
$ j" Q% l2 X# C5 |7 e. Bhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
4 T4 @. A% E1 U# E6 T

500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
2 L$ N! b1 ]) m5 [9 \+ {9 {http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
! s1 Z8 S" G& Z. i* n$ x经过分析，登陆验证的过程应该是：
, F: z$ j* b  N2 |2 w
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
& P% ]4 Q$ e% j* Ghttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

9 M- b) o. p9 D  `! soracle数据库，存在注入点。@大连万达，你怎么看？
$ `3 d0 j2 y* _' g$ s. ^+ Zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
" v( @1 {$ n& t6 A; W
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
; R7 m  E) m3 Z$ c' g6 x" `万达scm系统登陆框sql注入。

5 @( e% O2 a0 A: \' p  chttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
# E( j2 J* ?. T2 {
: X* B3 ]& a4 x* I
/ [; v; |& m6 r4 C, U500错误。
) ^# g0 ]9 ]* Q0 f
1 m) ^9 t- t) }# N, D用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
/ |9 X1 [7 }0 f' r: T6 k
/ a" T, W' ?: v$ r9 b2 G3 F9 r0 r
# k6 Z) p9 K9 U; f. o（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
) l$ ^9 U$ [( K: R( F  r+ W; g
7 [: F- u4 @' O取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
3 _- X3 Z  ?' {! ohttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

" t, U8 q% q' f6 K* O( W0 o
4 [9 L  G0 t/ \oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。


厂商已经确认
$ I! g& K6 t! b
5 i7 n, h! Q5 [$ F* A[/td][/tr]
[/table]
$ F/ }" [% `' x7 V/ D  P( ?
8 B  \. b, ^  \: j( H2 @# ~