万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
5 a4 `* i# _- y) u( u% i详细说明：
万达scm系统登陆框sql注入。

3 c. ]4 l' T2 [3 \http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
- z' G& O% ~7 G; t9 V$ W
3 p6 c5 L+ Q5 D! c
1 v- J0 V+ u6 h' t) e500错误。
6 E, l9 x& s( s- ?
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. n% l) Q' {. Ohttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
  i: o, l2 W" ~1 O! Q8 f, k截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

9 i- J: F+ x# M+ _/ r取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
; x1 X$ O% p9 B) L$ i3 zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
" U/ k0 i4 u( H0 u& u7 n4 F
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

8 L% k; j2 K: ^/ a# w系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

9 V& z  u+ L3 S9 ?7 qhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ A, I& L. }3 [( `$ R+ i4 r

$ V0 w! e0 V" `; j, c4 I$ N' L; \500错误。
% H$ Z; w" [2 J7 n
' o2 G5 y) g  j/ _2 `) @用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
  [0 ^. {! }. V# V6 m
( T% P7 _6 Y  a6 A/ t
（截图有一点问题）
& p4 b4 p3 L- a! A, ~0 ^
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
: Z  x; h1 @4 j  h+ t
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
& R% V7 {+ U  y5 _" v
绕过：
2 y0 _- z5 m. y  q) R4 @http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

9 K; Y" r; u+ V# p. x( a. h0 C
oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。
+ x' d( ]( c& x' G# b/ _5 ~( o

1 \. n! k7 c% h: }3 x6 P' E厂商已经确认

[/td][/tr]
[/table]

1 b2 D8 i9 A7 O; C! S
; Z* u5 n. x: z) i# Q- j: e