万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
; j5 ^! D. q0 Q8 A  r. [3 w万达scm系统登陆框sql注入。
; S* v4 Y! w9 R
+ o& w5 ?/ T1 @- d2 q5 }! Nhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
5 J/ u/ p2 ~2 v: w4 a6 u

: o3 A' U: @6 G0 s7 b& F5 `5 J500错误。

- S( M5 A& y; L5 W* }8 \0 U, u用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
/ X2 r9 e' }6 b0 T9 A# j经过分析，登陆验证的过程应该是：
1 c* P0 e7 V& j
& i6 L! d9 f3 l取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
4 W4 k  C! {  t+ _/ ^http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

2 Z# \! X# I/ C  K, e! Boracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
$ C! Q* d& T! ^( L% t万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

/ }4 U7 H8 ~7 r3 d
500错误。

! B* _$ Z' N" v用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
# g0 j0 P6 c5 l( ~- Y$ bhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）
  [' m$ J( \- }3 c' [
1 i3 c+ l  P. I: E怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
9 M2 ]& H9 P9 o9 Y: B" s: ?* Z3 r" b
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
- X6 i, E& T9 p8 n8 x) U
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
$ b% |  B" o; C) }
修复方案：
" D  @; j4 K) Z  t。。。
7 a  p. ?. D+ Q* Q7 |' h* P+ s1 R

1 \0 J/ f) O1 F4 X2 P1 T厂商已经确认
- a* b$ ^4 p; i7 T0 ^# h3 @
[/td][/tr]
& J6 b' [, P. J' _/ M[/table]

' ^# o7 k# e- i  D% R& y