中国网络渗透测试联盟

标题: 万达供应商系统SQL注射漏洞 [打印本页]

作者: admin    时间: 2013-3-24 20:16
标题: 万达供应商系统SQL注射漏洞
简要描述:万达某分站sql注入。敏感信息泄露。
; f  x9 T( L! [* W! x! O. H% _9 z详细说明:2 @3 B, O% W' J2 c& y& n; C; p: H
万达scm系统登陆框sql注入。
* R: m! ?4 y& e2 p6 @& z8 F6 b9 ?. s( n
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
% f3 M" g: y, ~% Y  B5 Z
2 J2 R7 r6 L1 R' |& a2 T
& ^% ~% [, s: t4 M500错误。# Q; ^) _) n! j% J2 ]
. J; m1 _: y& R  r  J. d- N! _
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
& p0 p& B6 |7 U0 J3 |7 Xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
2 @, m  @' D8 V% C8 J截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)3 f+ [! Y2 U: u8 s
经过分析,登陆验证的过程应该是:
6 Z* u. X! E+ i! b$ l6 ]& P7 }! {/ \- h) E. @4 [% c
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
. h4 S2 u9 Y: h. _1 Yhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png# U. X  P4 |! m4 H

( Y% d5 d, x5 U* j% ~oracle数据库,存在注入点。@大连万达,你怎么看?: K. @7 ?7 @, Z7 h  M4 E
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
7 O8 O, ]" X; v7 @% U& w! V8 k
  y- I1 Y% Z) j) p9 W系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
% l2 O) q0 G9 w! X" L漏洞证明:
3 F* X1 X' `$ |( C0 e% T9 k! n* u) @万达scm系统登陆框sql注入。
( F  u* l* ?( O1 e) K; K9 G" @6 e1 Y3 w5 H
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
! s- v2 x! E! A7 Q0 F
% }( m& b) {: m4 V7 p8 h) E( ]4 T/ K/ e; ^, [
500错误。
. j8 Z, g- u( O0 `' }- W1 i0 i1 z: _$ {, p- P: C4 ~$ f
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
" h9 G! y; F' V4 a. a* x% vhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
9 u, i6 {/ A8 j, y3 B
% }- X0 A1 e7 I. {
9 P1 }* s, E# g( S(截图有一点问题)! M6 r: ?- ?( D. H6 E# S: _9 m
9 {0 v0 `  V* {2 D% @
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:
0 a0 @& r. ?- B5 Z1 w6 G& \* e  O8 l- v: `* f2 P
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
3 f/ v: e! f" M+ r8 j# w$ b& D
8 R) c) `3 C3 M- e" |绕过:
$ R- b8 w( f$ @  W$ q; G5 chttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
4 Q4 Y1 Z% ~6 j- [9 d& Z6 `: l  J1 G& u% m! [( [% a
0 Q+ e& m2 F% w6 l
oracle数据库,存在注入点。@大连万达,你怎么看?5 Y% y" `+ h5 ?' a5 g
​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
- H+ z3 D" _& c  x' _
; G1 [! J4 }. D% m( L: R( l修复方案:
& |- G  L# \0 k1 M( P。。。
1 J. X$ p& e8 q( _8 A, M" p3 p! b* F8 \  V, z* m' M# r6 d! M# k2 v7 O
( z3 i' W) c' t! W) i; v
厂商已经确认
$ F6 w7 c* y3 ^" I7 ~/ h
; D: ^, _8 q0 }/ U. \( n[/td][/tr]9 }& c% p- p7 J; J
[/table]# {0 e3 h0 z: r$ D" u3 x6 M
3 U; x5 V3 Q0 C6 {
; ]# U$ S$ o+ k  Z( P2 w# z: [





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2