万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
/ ~" t/ D5 M* k, b$ z7 e详细说明：
万达scm系统登陆框sql注入。

3 r, k$ c/ m: q9 {' f8 }1 G# phttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
/ H# G# X0 g( ~6 J
1 @1 T& H$ u* r2 \6 q5 w
# _4 M! C7 R  k7 C8 g- v0 K9 p500错误。

0 r# X7 ?" @7 D) a+ g2 x用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
) {* K% t5 d  P  Q2 e! zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
: _- Z* }% V0 T# y( L1 h
% e  d( Q& U6 S1 {( m- K- n- Ioracle数据库，存在注入点。@大连万达，你怎么看？
/ i! W5 ?( W. J+ i# r( ghttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

$ I. J! b- b1 U9 N, S6 w系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

- I* q5 R4 e9 k* ]/ c
# n7 S  F0 V0 g% D4 c& F500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

& H: }. S- K/ q" k) B/ w
（截图有一点问题）

" H* q: k+ t7 Z1 |怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
/ E" D5 c$ j! k5 `" j
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

, p2 i0 C" {% }* {绕过：
0 K  L" d8 w- y% H$ |$ d* ohttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
8 R. P! F! p/ ^

. y( z) S1 S) @# s. T" L1 roracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

0 w5 m/ p0 S& f( A修复方案：
。。。
9 s+ a; D8 i- [) ]
* _: g. e. a7 E0 X# s# W3 p
9 O% z2 V* m4 H- K) t- l厂商已经确认
$ {$ _) {6 ^! m9 a# j4 S& s2 e
[/td][/tr]
[/table]
" l8 }9 Y+ J5 Q

7 Q& i6 K; m8 p) P) w+ I! D4 A  C/ a