万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
6 _. Z7 B1 ~# J$ k1 S8 X详细说明：
) [! b1 f# J" z4 C0 @' `万达scm系统登陆框sql注入。

) Z: Q3 W' E9 Khttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
8 ]. b" H, f* y1 D  C; ~: q8 J
" B2 c& }' S  {; q+ M/ R
% {& E- |8 i6 J, Z& [, r500错误。

6 n9 V2 c- w9 S" J' y/ ^用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
0 N  ~- I! o. y* K截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
' k* _7 L+ a8 V$ b4 V& L经过分析，登陆验证的过程应该是：

0 ~) O! z) X8 v& R取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
7 E$ K( X! |  m/ T, K4 a: g, u8 }http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
+ ^0 J9 N8 Z6 g7 q3 Y+ o) X漏洞证明：
2 F* l, y4 |/ b万达scm系统登陆框sql注入。
2 d1 W2 d( {  o' m" |8 G# M
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
/ A$ O$ E# Y5 b
+ h* @" w5 w  ~5 k; ?+ a  X; M  `9 L# Y
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
" Z; ^: O7 m5 d: O5 [- phttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
9 w2 ~0 q% _3 }# Y$ x' s
" q( @5 A% x# x2 F& a
（截图有一点问题）

) q8 Y0 R/ S$ q' m5 H6 B! j$ ?% F怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
6 \9 F! b+ s. S0 V" [& }
6 r% b) M* {, Q1 H* M# m取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

$ Q  F: g- X- \, k9 [) e绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
7 s4 P6 V7 X) Y. A8 r% w
+ K* {5 M% s9 p; h
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
# W" [# F7 C& K1 y3 y! P5 w
修复方案：
。。。
5 ^, U% t* F; N5 \) b- ?! D; L- y

+ M* t+ d5 |' }3 S' x厂商已经确认

  D* M$ I* g/ R* k- @. K9 i[/td][/tr]
[/table]

1 {# T* ^/ C6 {8 v2 }$ E
* X9 T: b1 }' u* g1 V! y5 @- Q