万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
+ V7 b0 S& p# f( i( O万达scm系统登陆框sql注入。
4 E6 w# t8 r- ~/ F
: y$ B' b2 `; p' J4 h3 c7 ^8 ]) l; F9 Vhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


. w" n/ z4 r$ }+ Q" ]500错误。

/ W5 u  {' u2 l  h) _* p用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
% \/ b: I2 f4 L' Ihttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
3 @& ^; H1 R2 e1 }* e经过分析，登陆验证的过程应该是：
8 o  P0 @/ o8 V; f+ d7 y( f
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
" @* ~0 _( M) g8 Q8 Bhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
  Y% T' G1 c# M! D/ M5 b6 @
/ `, s: v$ O7 D9 Woracle数据库，存在注入点。@大连万达，你怎么看？
4 ?0 ?% h+ u, G; N) ihttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
$ c/ a& d9 m1 |& J$ S/ O$ ?
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
9 I2 l$ I7 i+ k& W万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


4 E! y& v- R4 B/ k500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

  L, n6 o, i6 V4 Z1 Y
（截图有一点问题）
7 A& W0 k7 u- `5 ~, V
  M! W9 B. d7 Y' T怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

4 E& B7 j6 W& k5 v: y绕过：
+ M8 |' p+ d! b2 {$ K! nhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


2 r$ v' \+ ?, ^6 Z4 d/ u7 {7 noracle数据库，存在注入点。@大连万达，你怎么看？
1 y9 w: J* f4 e! q% G' F- t0 R​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

1 K: u) {9 e/ s& Q3 |修复方案：
1 v% M; }/ G1 c8 N* }* A- r$ U。。。

  V6 `& A7 J; S. B' v' \
厂商已经确认

[/td][/tr]
[/table]
; U) v. A- m6 e# \7 M" I