万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。
' x! U) G& H- F5 e% X& ]( l
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


5 ]* c9 i! Q" m500错误。
, ?" J* F# S' N/ t/ T0 Y
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
9 {4 A/ o( @, l3 j9 g5 `- _, L" D8 Whttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

& G0 G$ k8 D- |$ h9 r- {oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

7 [  m/ f( k" L0 i9 z" b2 T7 H系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
# a; L; U4 [1 P# h* _- f漏洞证明：
万达scm系统登陆框sql注入。
$ o$ w* T7 V" t3 C! `! Z
/ t- w( P; J$ V. ^8 ~http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

! N# b1 o6 r, Z1 _+ q+ B" t2 u
( t/ w, P" e2 x5 }% ~" s500错误。

: b5 {6 E2 z9 G" n0 ?1 |& _1 U用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
! c7 p+ I$ r) }4 o% b3 t2 B$ M) {
/ W# C/ t2 s8 s4 a4 j- s8 r
（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
2 [9 y9 I6 M5 a: Z9 X
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
* w/ Y+ u# D# P6 f) T

9 h: o* _$ k% T# roracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
' n, a# j* s1 P; d: f+ n。。。

/ z' ~- S3 Y' Z0 P
厂商已经确认

[/td][/tr]
[/table]

2 T& A5 T$ ^& C1 x/ l$ _
5 d; l$ F# J- P  ~+ t: \# V