简要描述:万达某分站sql注入。敏感信息泄露。" U5 ]) H' q% }( l
详细说明:, Z' B: X2 K# v) p7 S. a5 `+ W& p
万达scm系统登陆框sql注入。
5 F- v# e; B& j! P: t4 ^2 d! t1 T$ T% r
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; ]5 o# L+ [% l. q* h# S. _% b( w; w% V+ ?
, ]# M0 d' w; W
500错误。7 y4 F) [# b4 l
V* g: J p2 [. D# E1 G* w) m+ z) K用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。2 l* O* `4 a5 k( y
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
( J2 b1 B+ |) C1 L0 I& ~截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
# \' y* ?1 H, N+ t) V; ~( C经过分析,登陆验证的过程应该是:* C2 k: e# [6 k$ d
?4 _( }" H; ]5 B& [6 X) f5 ?
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。2 t; l- _% d2 f! e# A
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png1 o' |) Z5 @3 M
- W% @2 V# m& ?! x; u+ P0 woracle数据库,存在注入点。@大连万达,你怎么看?
4 ~* W# g2 ^3 @8 }5 bhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
U+ g* p) S% W9 m0 a7 D r; c. Y: X, O: u' U5 s. r, F
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。& K3 x: m% g! V
漏洞证明:
3 r- e6 }. @$ P, H% w$ }万达scm系统登陆框sql注入。6 V: \" E5 ]5 W
# h3 v) t5 b& J3 {1 J
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
_" J+ m; ?1 r( g& p
& q1 j6 _1 K- e; u* P- Z# W& }7 y8 e+ k" i( H/ h/ Y
500错误。7 l/ u; ~ J* p) ~$ y' M
! M- h( Y: j r. u* H9 \
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。) r/ C4 u/ o6 U9 Q5 h* I
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png& a8 h) ^5 I8 N' V! z
7 A5 }5 e& U1 k( a4 ~
$ K9 s& A* D( H
(截图有一点问题)5 g8 ^% ?; W5 L0 a8 h' ?
# M- M& V# I1 ]# M怎么饶都饶不过去;经过分析,登陆验证的过程应该是:! L7 f3 s% p/ ]$ }
9 B2 \' p7 w! Q" C, }+ F取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
8 O6 A6 c1 M: X# ]: F1 F! K/ [; y
绕过:! J4 U9 a5 ^7 c
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
' o( x# a) Y7 N' x+ m# i9 E' z( E- j6 d
; h9 X6 P$ u+ V' \# U2 o$ J1 W, A
oracle数据库,存在注入点。@大连万达,你怎么看?- z6 ^& [$ ^. q0 Y/ s J1 P
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。9 i2 S2 q0 p c
# u4 i3 C: P( [修复方案:7 H, D. M1 h6 M; u
。。。
' j& J; K9 C+ g% L# O5 L6 C8 ?( l6 ~2 l1 R! @/ `' X6 @
$ Q7 P/ B- y x, o厂商已经确认, D: x1 i: y/ i( b! `, _# G+ ?
. O0 m( u6 e, c0 O6 a' b) u2 c
[/td][/tr]+ Y4 p Y+ {5 {' }9 V5 |( u4 K) N
[/table]. e* K! C U1 i
4 ~, t! A# r- B2 y0 f
' K" D, Z: e% i. N
|