中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]
作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
5 v4 h- Z2 O. ^0 t详细说明:
, ^6 _, r" v% {4 B6 Y$ k万达scm系统登陆框sql注入。. r% G* F2 c2 K2 c! g
5 N, Z" \) F. w3 p! W; N
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
9 D4 t% C& I& W# s: v! j. }9 a" L- W: x7 \3 N
: i' r3 x) L" L( B
500错误。
# o8 [  \7 \$ l+ H  {
! u/ s. _% N: G% s4 n用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。( F/ Z* n; g5 z% k( v& P' ^
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png/ H  I/ ^' J# u/ H8 w
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)5 F0 d( x" v1 S" y
经过分析,登陆验证的过程应该是:6 j# G" `! e/ z' E2 m, a

) t& B& P2 `3 {2 }  H取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。8 H! _7 N' r0 y4 p* V' a  A
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png& R6 n5 I) n% }6 K& j; N/ s
9 y- v! [. j1 O) q1 W% i: [
oracle数据库,存在注入点。@大连万达,你怎么看?8 _( W* F' r2 y2 s) R. t
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png& a9 L3 X; R# \- ^5 T9 R
2 @2 ~' J7 B- ?/ q- h
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
. H! i1 X" ?& X漏洞证明:9 v6 v( q! x5 f# W0 w
万达scm系统登陆框sql注入。; N: N, U. I* D% n" U
* G0 l5 {- {( }) a5 E
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
! N0 V, Q' O' V; r+ f1 w1 ^; @1 U5 A5 {# |. X

; K0 b1 ?& ?0 z6 D# }/ _500错误。
- g8 {% S/ ?7 V  ^+ b  w4 a# D$ B7 Z0 u
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
: ?0 y' C6 j# w' Vhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png+ G  o6 _, I0 ^% U8 s; S
9 [9 }2 g) X+ A& w& i
/ T( r% F# ^( ?+ O  A
(截图有一点问题)- a# o/ |- e& C) @% B% j  N

1 A0 t$ `/ u4 {8 f1 p' ~怎么饶都饶不过去;经过分析,登陆验证的过程应该是:: R: I9 t- t7 J: o6 H
& G& l0 M5 F% k. ^) Q0 }
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。* O* ]0 t; C/ P# F* C2 p
& l. T, B- @" W6 F( N
绕过:7 H$ ?& b! B7 G3 b+ l6 i* T5 Q' X
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1) F  o7 M- p" g

& y: {6 \* A! X# j3 A6 K5 n
$ P7 P% N3 P* k+ P3 Foracle数据库,存在注入点。@大连万达,你怎么看?
6 E& n; {' ]6 f2 Y( F7 `​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。* F+ W( U" h/ d  \0 R# ]8 J5 t
2 c6 F) _/ L- w8 g9 R3 J
修复方案:, D: z) u1 q$ {/ b  g. V, V% Q2 D
。。。
# y" M4 b4 J, Z7 N0 c$ \& ?: p
9 B2 H. c  h; a$ v9 }  C4 w( w$ @& ~4 }) L- a( U
厂商已经确认
' G( \8 B8 \0 g0 X/ E3 O6 n, ?
& c; r0 n/ I7 e+ \[/td][/tr]
9 H+ ]4 j8 T" R( D2 |3 |) U[/table]
2 C3 j6 J1 i' f8 I! k) x! k" U% e6 a& E
2 e- ~7 x3 Z( m: Q( i3 L4 D




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2