找回密码
 立即注册
查看: 2909|回复: 0
打印 上一主题 下一主题

万达供应商系统SQL注射漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-24 20:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:万达某分站sql注入。敏感信息泄露。
; w( R1 P5 i- F* Z* q! c/ H9 M详细说明:/ |% b: L" |9 L2 }9 F+ r9 c
万达scm系统登陆框sql注入。# Z, f3 v: F: y, h+ m- z

; N& ~$ ?4 j& y% Zhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27# V2 V8 l1 B/ b  P4 Q$ N

" k4 s, h* D4 n1 c& |$ W" H
8 W2 o, l' g  `  g2 \) H500错误。
# P# x! @% w% F+ v; X
" C* A! ~- n9 P* l用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
& F& N$ L" p; U! [' S% Thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png0 a% M! a* ^4 y( P. G
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)0 K' l9 k# Z( K: Q3 V
经过分析,登陆验证的过程应该是:
& Q0 ?+ ?$ `  e
7 e; K  S: s! j取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
! g$ h9 @6 {4 D) q, f1 K" |http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
8 D# u, l+ T% h( t8 W/ k' s% P! ]/ Q# c1 X2 H  v1 d2 n$ C
oracle数据库,存在注入点。@大连万达,你怎么看?! m. i' ^' H1 g6 {2 h& o
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png* z, Y- d; _) I1 e1 s
6 }% j$ Z* W4 \# N8 \/ V
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
6 C* P+ ?7 k2 N% F) d" b" m漏洞证明:
: _9 k6 c  i" Z, X万达scm系统登陆框sql注入。' D. `* \: o2 P/ s

& J! e. [& x. U6 Fhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27% n9 S* `6 r/ c
- ]: \9 V( p( M- g

8 t' P6 W: y! K500错误。' c: \  Q) q7 U" |6 f/ R* m

" n! x) ?/ N6 ]- s( z3 Y用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。" ?! g% u' H/ @$ X
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png& d! c0 m" J8 O0 g8 K" \3 h! X* q2 i' k

$ T6 i/ k) f3 X4 }/ ]% p2 r! P# `8 o" F: G4 U/ m4 q0 K
(截图有一点问题)2 E6 r8 X4 U$ J% d# _

" D* _, U; c1 _3 P怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
6 T; m0 n. P) A+ W' s$ S5 K9 {) n9 e3 d' j7 O5 p
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。/ q  ]' [4 p' @3 c

6 h' _/ T: f9 f: _; g绕过:" k" C1 b" b/ O( B$ a+ I: r6 M& R
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1* i; s1 a7 C- ~9 S
0 m% g% q+ u8 c0 D' R- M

6 x, x7 U0 v) Koracle数据库,存在注入点。@大连万达,你怎么看?/ S3 h; V1 D  `
​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
! [4 p" h! D/ i, n7 |) Y5 o5 c3 {- i  M  m
修复方案:
, \7 k; p% V9 e) t8 I0 c。。。0 a2 F; l0 C: e

% `" y+ A9 n* _& n( N+ g5 j
- d# y) u0 e# M, @6 ~: z厂商已经确认
% c2 f9 b, Q) I5 J5 K$ p3 L7 `: C, Q
[/td][/tr]
" \/ l! `1 p+ M  J4 q) Q[/table]* j8 L$ ^1 D' f% R! l

7 a# J  O/ d& O0 w( y' o
7 x7 u0 B; }; _+ `
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表