找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2769|回复: 0
打印 上一主题 下一主题

万达供应商系统SQL注射漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-24 20:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:万达某分站sql注入。敏感信息泄露。
5 ^4 X: p% {+ Q+ z% [4 K, [详细说明:
& T/ H, Q! i# l' E+ `. G万达scm系统登陆框sql注入。
. z! k& W) }7 ~4 B8 P, X& B, p; `) i
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27) }+ s2 Q, M' z  f

1 P$ Z8 q4 J7 h5 G
6 a* x  M8 y$ n9 K9 W500错误。! M  m/ o& l  f
) k9 g/ ^4 Q* ]' f9 e: X+ y
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。' U, l) g- E/ w9 I8 b  E$ D
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
5 H& Q$ g( i" ?+ u7 L2 V截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)7 c  @6 N, A- U8 `0 ?# s7 d1 s: |2 h
经过分析,登陆验证的过程应该是:
5 m- ~3 Y$ F$ S0 V: s- ?1 ]1 `& H: o' l: a$ i8 H
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
8 @- q6 f4 R( ]$ n! Fhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png/ S) k- G! D1 V1 r

0 X. _/ o1 l' x, @' r. s) Eoracle数据库,存在注入点。@大连万达,你怎么看?: S# t& f- R1 n/ r* D
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png* l  @( }1 _% j0 t
# t0 F9 D# b6 [7 E9 m) N
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。6 q' L# W' l9 Y( U: k
漏洞证明:
# k5 X3 p/ Y& K8 C) y4 ~) A万达scm系统登陆框sql注入。
1 g  x" I8 V# n9 {; i: i# d4 b, N) C4 n! Y
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
- S, S: M; O; x4 k9 f9 d# b2 H2 o( ~% ]# B, }

% z5 U/ v: l* ~) L$ ^+ O500错误。9 ]; Z1 ~: ^3 Z: s( H

1 K  _( b; d$ ]- W3 Z用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。/ l2 v$ [- u1 q2 U
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png) y6 g8 i5 ~9 x+ O" z" q6 Y9 a
  r5 P3 k% [  s$ S
) h8 M0 l5 R* }5 M7 r
(截图有一点问题)0 k- b' m8 D! J
2 X: J% f2 L( L7 D( x! L
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:) E6 ^& M4 I% m$ i* C

9 u0 V* Q5 Y* c" @- V取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。. M$ r! ?! J$ n) `

: U! [9 z# X$ v  r$ x绕过:
/ [6 h5 F0 a( L& ^http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
- {2 s' Y, i/ W* p: }' h3 H" y4 q7 ?3 K9 [4 W/ f4 i

9 o* B1 l! S. Eoracle数据库,存在注入点。@大连万达,你怎么看?
  n/ Z# ^6 A: P+ H8 u  Z​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。) ?5 g, _* `, j$ {+ H% ^
: G& g0 v# s& `( U2 Z0 M
修复方案:
$ O% E, x; x* i4 B; q1 i6 Z7 t。。。
4 d/ Z1 O, h9 ~5 q  S* K! N! I9 C+ Z+ t3 p, |$ |( z# h4 q5 |" V

* @  z) z$ t/ u厂商已经确认
" J' Y: R. ?& g2 O6 E* x" L; }; {: }  Z& Y
[/td][/tr]: d- M* u" d0 l8 M
[/table]5 D; @& m, d) `4 W! l

4 ~& @. w& h, _4 R% a5 {
$ Z) J0 {8 \( q
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表