找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2745|回复: 0
打印 上一主题 下一主题

万达供应商系统SQL注射漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-24 20:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:万达某分站sql注入。敏感信息泄露。0 \: s. N4 m% B
详细说明:
5 a; Z# e( G; N万达scm系统登陆框sql注入。
% |6 i! Q0 y7 b) ~1 q1 e- S# n# z
2 c+ ?4 z0 X$ m; A4 t5 Q+ V( |http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
9 ^8 V% j9 A# [! O* p% O1 |( N0 l% u
$ I, a# c6 m6 P" [1 h4 l9 ~
500错误。
7 {, z4 r- L- J7 t, F! y! f( r- U" d
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。, a1 u! o, D" ~# ]
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png; J: F! O7 `: q
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
# e. u. x6 o7 D: s) A3 v) g经过分析,登陆验证的过程应该是:
' }% A9 j1 K% O1 D8 N" Y) f8 h) V, L/ ?+ ^$ e' V! k
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。& P7 ]/ U8 J; u$ ?+ O, S
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
9 \5 x9 n* b' a* Y% R+ `3 u) T( H
2 @$ H2 y9 t0 k. ^4 joracle数据库,存在注入点。@大连万达,你怎么看?; A: ?7 A2 L' s
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
0 k+ n, V% J0 h9 T" V/ r  J2 C" k: v' Z( i  ]' `
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
, l0 V3 i! J0 j3 ~4 r2 Q漏洞证明:
7 m+ y; b) j  u5 N" Z万达scm系统登陆框sql注入。
; w0 P3 F5 M3 R3 q& r2 E
" t& ^/ N! G# l. V; F" S$ dhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27* B2 V* r3 l8 j4 A( m; V% \

( F. S: Q9 h; w8 ?3 N+ |8 I
1 H6 t3 E  y4 J6 c$ D; l- i500错误。
/ c& g9 O' K$ R7 M7 ^, X7 _- m& p8 q5 _8 ^
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
& m4 R9 J  n8 d9 I2 O2 }2 hhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
% l* \% [) }* X. X% w. V8 K( w1 S  G( @
# @) N" ?# |% c$ Y9 n
(截图有一点问题)
; i& _. T9 X0 B  e8 ^8 _! B' I1 W
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:" j, `/ k& ~# u

9 B7 o, |7 _4 P6 ?4 M% S, \0 `取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。$ O. I& v" b! q3 w
' A# e! {# w1 F4 z
绕过:  C- q( O, u: H: n5 T7 r  G
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
0 k# L% u$ C! d
8 a; U$ v, ?9 p8 f! k3 x- V6 X0 o7 g) U7 ~. Y: x
oracle数据库,存在注入点。@大连万达,你怎么看?
+ T9 O7 i! n2 v; `5 m: M) |9 `* _: ^​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。0 g6 X. h  L. Z: O, @

  ^# r! Z0 T' z  m% j0 F修复方案:
- Y1 \$ I& K5 T$ G。。。/ X# k1 v* W6 l# Z4 k
4 |2 R9 R% V3 ^0 q0 x  N

* U! Y; b/ R/ V7 A7 n- R厂商已经确认
# `3 f5 C1 P# I# `) o& {; x8 Q: H) \
. d& V' S0 R" b; Y: F5 B1 P& d[/td][/tr]
5 T4 ~: i0 b7 o( B' \[/table]4 @3 C3 F8 M: ^  V, M: N  s

2 x) \: }1 ]* D# g/ f, C! {7 A, j0 d6 E
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表