万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' e$ J: t+ F& H1 r详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

+ f) O+ C& T! ~- q* V  W7 N; N
500错误。

9 Z7 H0 J( A7 |) b# v用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
4 P" e' c- _7 ~# H9 ?截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
5 X' x5 B% l& O  w  E0 p5 u2 k; z
! }3 i. l- R; j, l  Q, f" h4 B1 [( ?取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
1 N. t1 t- t$ e$ k4 K
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
( w& A! Y7 o1 U# q/ Y1 p漏洞证明：
万达scm系统登陆框sql注入。

0 i& g. c) O9 [# W9 {- ahttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
: i7 N1 D! [6 k. G0 C
' z% V% M# ?6 T8 h' E) v
! \- ?. B$ x2 c4 V! f500错误。
# B4 Z& V" {7 \
; p3 B) X: M! G  Z( o; G5 }- A0 O用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


6 P5 z7 r5 g- o5 h& H7 J- a. R（截图有一点问题）
, v* s" P" O: \  X
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

- }! P0 T! ~9 [$ m绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
' o. d2 {7 Y4 t" i3 M/ Q' q4 \' @

oracle数据库，存在注入点。@大连万达，你怎么看？
3 d4 G- R) R: r6 u: C" R  t​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
0 L6 j( t' \, a( R4 H
修复方案：
。。。
- G0 q- W2 k5 S! S
8 l9 l, C& R' V$ W5 Q% _
/ M3 q# a8 s& G, E* M0 V+ l8 g4 D厂商已经确认
: x5 k1 P9 [6 W( T, Y0 e0 Z$ ~
[/td][/tr]
[/table]

/ L) _4 ~1 E. Z& d, A8 Z