万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
  |" R' W) o$ C% O
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

1 s" H# e! K4 Z6 m5 h. S
500错误。
; m1 h4 q! q" j) i
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
3 Z3 k  G/ k) F4 f$ i  u( ?* Dhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
9 Y* n; A/ O1 ~! e
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
( Z1 x+ [/ |9 W) d! d4 C6 Whttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
9 x. h# G- K  w8 j2 E
5 Z6 [! [9 ]0 Yoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
& o% t5 M$ S; X# d
+ T2 K9 x0 s, D* M! w) X+ W: ehttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


& @! c+ u2 v9 C: N500错误。

7 H% [5 ^3 G1 X( x. l4 D/ L用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
: y% z# N( F: q3 E, X5 u

（截图有一点问题）

( ^0 Z3 D3 ^" F; Y, U- C& Q( ?. f怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
; I# S1 o0 E. P8 j( d" ]; s
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

. ^6 i0 n/ q" R" M$ [绕过：
9 ^! {- E8 Y, w# `" [http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
9 e3 |6 n5 b! d; ^: K; b1 ?" o
4 O: p3 N% N  P+ d7 q0 F
' {+ A$ f+ y7 {$ Ooracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
- Z% Q" `9 D7 ^: `; r5 V" D/ M3 ^
' V; h1 H4 @8 D! r8 x修复方案：
。。。

. Z5 y9 e: ?! C: h, r" C1 p, Y
厂商已经确认

$ i% _. Z: p9 v* u+ [[/td][/tr]
' t8 I( ^# e0 c7 ]9 Y) y[/table]