简要描述:万达某分站sql注入。敏感信息泄露。
2 G6 @* y0 a6 d3 L$ v( c$ F5 R详细说明:( V5 q! h# V8 c. e0 j$ D& U. y
万达scm系统登陆框sql注入。) h4 `8 B& N+ k( L+ g- y4 K
5 l0 E: v6 K7 ?. L: hhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%270 x( l- u. D- |# ~( l
* \$ O9 \+ r4 Q$ f( b9 l0 v; \$ w3 [4 G5 H/ v" J: D; v
500错误。+ M1 T& j i) N+ \1 A3 a
3 j0 ?$ U" ^* Q0 x/ F- h
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。& |8 T$ C2 H# n6 m/ a a
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
4 ~ f# Q3 N, q9 v截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
2 O! O0 E# r/ d, R# M2 K/ K& x( E经过分析,登陆验证的过程应该是:
, \9 ?" _$ v6 R9 t3 z4 f# W, p& j" x* k# J+ G7 |# z- p P
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
4 C( }6 `0 A$ y- }8 n; {http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png- l& W- T* j" Z" [6 T( E- O
/ q6 d; n0 c7 B% g5 Coracle数据库,存在注入点。@大连万达,你怎么看?
0 |4 W. V( w F# ~% f& i$ s; Zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png8 o1 C6 g7 }; Q) u9 d; x: }
$ ]& o. s$ h# x" ]1 l
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
( E H9 c' [" _( W9 q7 ]+ [1 z漏洞证明:
+ f% F6 E! S+ ?# w0 @/ P万达scm系统登陆框sql注入。 \: d* |" o0 O# p0 B7 [* c
% A, q6 h7 J8 ?, L# ^
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27) S% c( s3 E- [, ?2 C3 L. |
+ H+ G+ b% u" D- E$ r; a6 X: ]) o0 M) k+ A5 }1 X
500错误。
/ Z- K! W8 L& A+ \9 p( V- n5 Y9 y4 l5 ]+ ?; `2 E0 n C# n2 j
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. c+ I3 B! {" @1 ehttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png f+ R( Y- Q9 F2 { n. t: H
% c' m; w# F, A6 }6 ]1 H) J- Z5 s L: \. Y9 u8 s
(截图有一点问题)
# ~! C4 v; D) K3 W$ X. h
$ Z! W( T; Q: `1 `) I% q怎么饶都饶不过去;经过分析,登陆验证的过程应该是:# n; f* E3 g+ ]: W
, V7 |7 ^- b/ c7 \6 _4 a* V; W; `* r
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
2 j' ` |7 T2 n0 l, t& B F+ v4 }5 e% K. ?4 H4 ^- {4 A
绕过:
9 P) ~ t6 U6 g: L: j# ?http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
, G5 {% F0 v$ P- k6 N" ` F" e, M+ n
" ~+ j; e; G2 Z7 X+ w( horacle数据库,存在注入点。@大连万达,你怎么看?0 w/ O+ S& m [! [. A2 i( P1 J
系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
# D5 c9 F; o- E2 _
; J) l- {; H; }4 I修复方案:9 D/ M+ }5 R: [8 h1 U
。。。
- c" Q8 r+ j- a# ~7 y3 [
& V" Q9 q+ Q5 V) B7 S! ?/ O. F$ k2 C- \4 I" j
厂商已经确认
$ Z, t& B& Y, |; _$ ^3 T( ^+ z5 L2 M N% S; d5 D& }
[/td][/tr]
- L& Q- [+ S9 r& B& X& H5 G, P[/table]
) J2 q2 c* ?4 N ~. M, |/ A4 E w' g1 O) X: _' j
. Q7 }0 R3 i. N) p, P+ g8 |$ G |