万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
! Q& V4 v( d5 M8 }# O详细说明：
万达scm系统登陆框sql注入。
) \( c- i1 N: q0 z! u6 R
4 e% _3 U$ f& b3 p' ]http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
9 e2 k7 W7 h- x. x1 C, }( j

500错误。
/ E) a. |5 ?: D3 s. K0 l  k
; f6 K  L3 s! m3 W  K: |9 ^用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
" n% c5 t1 }  k8 Q0 shttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
- r2 H; j" ?( o1 E截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
4 d+ _2 L7 L* k% L$ }. X; Y经过分析，登陆验证的过程应该是：
% e) |: c' W' J) Q
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
5 V# r$ E0 C3 h! d2 D9 s7 ~http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

1 v# ~  A  I# X" ?7 v# t3 qoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

/ u% N$ `. D7 J: I$ \系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
- v% C6 {2 X5 Y- K$ U& ], C4 q# z漏洞证明：
' d$ ^5 e5 R  ?! _9 `万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

  t* H$ g* q0 O) R+ d9 N
500错误。

$ [2 B. O7 O) M& d: `+ G- \( Z5 s用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
) R$ b1 |# B3 T4 p% i

（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
. e3 j! d. \$ @0 J; B
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

: X" I4 h! i. H2 r4 [! p2 X' b绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

4 {9 x- S3 y% {3 `: V7 @& G
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
+ k* O  z0 }9 T5 [' l
修复方案：
。。。

$ L7 z: w  P$ i
厂商已经确认

: H6 t$ e$ O8 {' k" l[/td][/tr]
[/table]

0 Y! `/ I9 J- U8 f( L7 u+ s9 v; z