万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
7 B! r/ u; m$ G" T
$ e, o# C( Z3 s& j' ~% i, Vhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
7 \* g2 q% C. [! @  B1 U2 h
0 v" K9 G' Z" ]/ Y
! D7 o( Q5 L. a- E; B500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
3 J4 a. D* H) x6 O# B) X截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
1 C: D* n0 {$ D
: l/ n  s* I& E. u& G2 o取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: V, n3 S2 j# A+ @* Q4 J) X7 Xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
$ |+ o2 r- C$ g  _http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
0 l) z0 h6 w1 q$ O9 ?" r0 s3 Y/ {漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

3 f7 V& S8 @4 z8 I2 k0 c) l% L用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
% D. H: @9 w/ f, J% I5 \
' s9 U* k% m0 j$ \/ z" z
; d3 B; _; r9 b! _3 [* C（截图有一点问题）

  x4 C/ c9 Y0 i: I怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

+ H/ A* Y- u9 C: n6 ]取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# L/ {6 m& L# H, X
3 G4 ?1 e" R/ ]9 q" ~绕过：
# `9 h( o) k  T) E* Mhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

1 L7 O+ x  j+ U+ O2 g" |: ~7 _
' E1 i4 M. [- @- j. U& g! eoracle数据库，存在注入点。@大连万达，你怎么看？
3 Q( X, O% ]" }# s" b2 e1 \! q8 O+ ]​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
) l! \" Z' U# U3 I0 o
修复方案：
。。。
. I: r/ G  I6 B' P  c6 n) ^) L

% r  Z4 x. e6 f$ {  [9 {厂商已经确认
9 J% e0 `% h4 G, h5 O
- F' O) [- a' ^! h  @, I# s. v4 F[/td][/tr]
[/table]


. T& a8 ^: V' ?* h& P9 z