中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]
作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
  T6 {" W; r$ R) h详细说明:
: h; `  I% n& Y$ L" t, x万达scm系统登陆框sql注入。
' D3 E! a1 ~3 S! ]: T" R! P- H, |7 m- Y) j: w
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 Q( L. \8 X# D) O0 \9 T
$ h5 h/ q  N/ b" p
4 c) L! t3 b' y/ w- d: M4 O8 [1 t500错误。
) \, g+ A% P% N+ l9 L% ]7 q* z6 x9 ^" ^
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。4 h& J6 G0 m3 T$ o2 [. y
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
! q  V( p& i8 M2 W截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)3 E% U: b$ d! R1 Y4 J) S
经过分析,登陆验证的过程应该是:8 o- \3 n2 O( ?
1 x5 j! z. ^" t/ W
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
  w& Q; p2 ?8 m9 V. Ihttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png& i; o, ^0 ~  z
7 L% O) Y4 ^4 _# r2 Y  p# ]3 S6 H
oracle数据库,存在注入点。@大连万达,你怎么看?
4 n6 [! d; ?0 Z$ C5 a! lhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
5 ?2 \# b/ e$ T  U& p. i, J1 J5 ^& f. ?& |3 e) m. T8 R, @
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
% Q. Z- h- T. |& v! z, q6 W4 `% S漏洞证明:
/ Q+ }3 F; I+ ]4 l4 l/ R万达scm系统登陆框sql注入。
7 r. t# x& M. j+ T3 V1 H
; b$ K1 L6 D. Yhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%273 a5 [) W# k( }* Z
/ _4 c6 u8 @( v8 O4 }9 T# Z7 s9 X

; A6 G/ Q( ~; I  G9 j500错误。* ~8 ^( }8 t0 ], t3 x+ _( d
! a2 H% p8 Q5 a$ [& |+ O
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
1 a$ b$ m- d) v, Z( {http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png( B* e0 \, q! d- E# ^1 M

/ N* J" F6 U0 _. _" S# O: Y
' ^) {/ |+ _7 E1 e6 c9 ~6 |(截图有一点问题)5 d$ G; Q; q! k5 r( \
/ D1 c5 m+ [+ d
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:: N1 N7 x5 K! N2 Q; Q) `# b& L

# w6 _9 ]+ G5 P5 F取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。& S5 P  _/ Q: t' L1 X
0 r: n" Z" r/ ^% P& a% J
绕过:, R& a! J+ p. Z' h4 i# L
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1/ P8 @' Q* J. X' x7 W2 c! M
0 `- e: `" N% Z- j$ @& I1 x

; t1 U+ \! i: Q# }& Y3 Boracle数据库,存在注入点。@大连万达,你怎么看?
  I1 }$ i2 }( k  h& R- M! Y​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。6 ^6 c" h7 S3 u) y8 ]% ^
; o6 o5 b7 Z8 \9 q$ A
修复方案:" H+ `. x) S. B- `8 y
。。。- r6 R& B8 v! f7 t( Q! T
$ `! F% _8 s- R) \
  a( u' @4 d' M
厂商已经确认7 X! ~. Q; _. h, }! U

( m- X1 g2 Z9 N[/td][/tr]: e0 M" j1 o: ]* V5 ^* Y
[/table]% \/ {, W8 q2 l8 Y5 r- h* F; q
% W! d/ H1 i8 g" h& w
+ B! x8 e& b1 ?. m! v




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2