中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

---

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
8 A( m- G7 A  n! i" Z万达scm系统登陆框sql注入。
9 y) A+ T( u+ ^9 s" h
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

0 L* C, M# O1 {& U" ]( \
3 @3 F* v5 ?0 O1 d500错误。
0 Q" p# T: S  Z+ L1 |
( v* k. T) n( Q) d5 O用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 M, s4 B7 X2 f" ?9 a! chttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
! Q8 u/ I6 |' h( E( C6 z7 `. M截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
3 J9 Q; j" M. u5 j. J# u经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
; [6 n+ a$ b& e9 L1 N& J( o" _' B% f2 n, |
( {7 L: X) a5 ?) @9 O( w/ Joracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

5 ?$ z+ v" x# r/ r系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
; K" f6 H: [+ D. G, I! H, \9 b漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ x2 g  }" ^6 j8 `% C, w
9 Y5 ?! B4 h) l' ^4 e% n
; r; J% p" |" U; f: L500错误。

  d- S6 |" `! V% x用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
+ i* @: w* _( mhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


5 F$ W6 \1 f( |) s（截图有一点问题）
( X* D( s8 \! O: [* }% u7 g( B, M
- p6 _9 N- [$ L! `. ^怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

; Z# G; E% p7 S6 d% g取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

  x/ E1 K: `/ l: v/ D: z2 A$ a9 M绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
% o' q$ S" v& C6 j) M4 X- J
+ u5 c; d, ^$ |
! R& |7 T0 }. I# yoracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
. {1 u. g/ {) i# w
5 o- R# W/ o& ^& l  V+ p修复方案：
3 j4 ^" W1 b% i2 y' p6 v) Y。。。

, v4 K2 P( e* e2 y- n% [9 c
% @3 c7 v" n; q, N& ~厂商已经确认

[/td][/tr]
[/table]

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2