万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' E- \: U9 v5 R详细说明：
, y7 m8 S/ t, \% J( h2 l万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

4 v; o& `$ E% k' ]& q( A; [
+ j% z+ S+ L; `' D0 L500错误。

2 {& J4 _: s9 A; D( N4 P3 W用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
2 x' [" C; o) L, [: g( N8 t截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
! @) W* }; @9 O2 o经过分析，登陆验证的过程应该是：
8 c9 u- g+ H" X1 ]5 a$ w/ m
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: L4 {/ i3 Q+ A3 L7 @  ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
* k2 }$ L$ H, ?, Y
3 q- L! Y3 Z+ @0 @! Horacle数据库，存在注入点。@大连万达，你怎么看？
. `& T; U/ b% A; d; j: ?9 vhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
4 B& [2 E6 @. \8 n  X
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
- \  ]1 Q; y, x* }+ `
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

$ z0 n3 A  ]/ q
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
: m" n6 z' B4 i) yhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

9 M, y: e  C* q8 k4 Q( ]
) \( k6 y$ k" P* g5 m（截图有一点问题）

( G' w( W  c5 }/ h+ b4 S# N& o* c2 C怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
! D/ c6 Z4 Q0 K. w7 H! g
. W# u+ Q2 T. v1 ~% |8 S+ x取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
5 a9 M. p1 ?7 P$ `3 |# a- ~. K  Z0 khttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


4 T% Y. W7 k" goracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
* ?3 J  a# q# }( ^. O; w2 c: Y0 x
2 Y' T" |0 Y8 D6 {+ o修复方案：
: x' i" O5 v' G0 M- }。。。
4 x4 X2 @& a) i  X( l0 H
5 o" j% F2 W: G7 S
厂商已经确认

, g4 i8 P( R2 E. y4 ?0 S' P[/td][/tr]
[/table]


. h+ t4 c# P) r: w" o8 n6 \