万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
- k5 e3 R5 M& G" i- ~详细说明：
6 H) r& p0 Z3 q, u5 R5 m& I万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 j- x( ]3 i. \7 I
0 C1 W$ `  M6 x! I2 o2 Y1 D' s
500错误。
- N8 }% f% s" W/ {" j4 e  s
: U7 Y( w3 |0 q0 J# H4 n5 @用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
) m+ ^; w+ z1 R/ W0 J截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
' C" f* U4 @- ]" e3 s) R经过分析，登陆验证的过程应该是：

5 N! o3 m, s' @; D取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

  H) o( \' v( l7 b) u9 Coracle数据库，存在注入点。@大连万达，你怎么看？
1 z2 \4 P6 {2 Q3 Ihttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
/ L9 U  d5 P6 G/ x7 H! O# V( c
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
1 K& [9 G' o$ \/ J# R漏洞证明：
万达scm系统登陆框sql注入。
4 b$ L3 q& q/ x: r; }) z
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
6 \1 u) S* v, B
7 S; {: ~1 O$ l! V
500错误。
5 y5 j, [1 m" u' q; K; B* K, u
6 ^: @( W5 F/ n2 W7 G用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
* S$ d. r3 F* Y
, ~3 }; h! f8 p
9 E; u/ y; u: u: L( E1 v8 H% ]（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
7 R% \! x" A5 G) e/ @/ `
: O# V; O% F! D  y# ?- k: w取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
& }& m5 O+ j$ Bhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
) c8 \" U3 w+ g: R
/ V  t2 i4 F- w! [
. X% D/ L4 w3 V; @oracle数据库，存在注入点。@大连万达，你怎么看？
' P* f' ]7 P5 G& y7 ?/ l​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
. n: z; }) G+ x6 e1 V。。。
/ u/ r7 p% d8 F  ^; c5 n% j7 B

, p( Q5 J6 H$ o, \厂商已经确认
7 t. O8 P. S/ b( x
: K1 Q. e6 [! {+ F  f' f[/td][/tr]
6 s  S" ?0 T9 @[/table]

5 u* `. X4 e5 L( v% k4 U
) a+ M( O1 R. x6 |# P7 M# n