万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
9 L# Z  o0 k6 O' v% a详细说明：
& f& Q% q4 U/ E# u3 g, K5 q9 S万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
: ^/ ]1 c& ]7 g6 U. Q9 N4 ~, b: M; g+ n
$ b$ @0 C% u* q
% Q( O+ t4 \7 z+ u. Y8 h1 h500错误。
, T: x  t, \8 `1 }% A& B
' k1 @+ V% c* B. a4 p0 a9 p) |用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
8 R4 o( `' n. J& K/ O截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
4 l6 X: H  a% thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
$ x5 Y/ m! Y# p% @
$ x" C+ o/ Y7 H, Moracle数据库，存在注入点。@大连万达，你怎么看？
6 [  i) {4 ]1 J2 v( }http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
8 Z0 h: a2 v: b5 z5 O
$ M6 g" B5 |1 {  N$ {系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
0 j+ R# T/ e0 \3 U/ E0 `, l. F; h万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

0 v# E* b: y- {1 u5 A* e* ]4 U
. }/ q, D0 b( t500错误。
+ i% @; ]0 J! d! k, S) r) W' O
8 P( e+ F! W: S. a# S用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


- C9 w9 j$ D! K. G7 A（截图有一点问题）
" Q" n' b5 v2 h" \7 V+ r9 M
0 A4 {" Z1 U3 L9 [2 _% a( z怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
# }# y) s/ d  L( a, z) o( Qhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
7 [% C) k1 L8 H0 `6 F! t! n
* w0 W2 {) f3 q/ x
! Q6 J1 M* O7 B, w0 X* Soracle数据库，存在注入点。@大连万达，你怎么看？
8 e2 W+ u7 y6 a/ `" N​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
1 z- a' d8 R. G! `! a
修复方案：
! j8 H' D' V% H  _% j。。。

! `$ M0 A  a3 q, A# G
" M* I8 S0 H' u. ?2 i$ d7 ?厂商已经确认
* Z  e/ y3 E3 A9 {1 P. q
, L- X* d' S3 s8 D( n; j( z7 H[/td][/tr]
[/table]
9 _% j; {5 j0 U! O2 Q) ~' H