万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
$ [9 x; K+ |/ N3 y* q万达scm系统登陆框sql注入。
: {) s. U$ J2 g# r; Z$ O4 g
; H# \. i( J5 ]$ \# D, F. S* Ohttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

0 e7 B9 `# m! c2 k. |用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
' `8 D' k( g* H* W/ ?# G+ l
oracle数据库，存在注入点。@大连万达，你怎么看？
( K& w& G6 f0 shttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。
) r/ R9 ~$ }; l9 @9 G
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ ?* N% N/ V# r# O' m
( K; E* q: z' F9 f8 v* M
* L) F! _( W6 a/ u500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

( r9 `; [( }4 e* _
5 T( e) S, T; X% _（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
- ~. m3 J+ d. a- _9 H" l
' v' r: A' c# |取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
6 P  O2 x; H, }http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
; `5 k0 Y0 z  d7 h% G# [. G

) }- H+ e- |1 ?2 K* }; ~% woracle数据库，存在注入点。@大连万达，你怎么看？
6 u2 O; r; E+ c6 q$ c​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
0 w) y2 {$ n9 ?, w8 W
# F0 Y2 ]9 `3 t1 ?2 x; ]修复方案：
。。。


厂商已经确认
* U( D6 s1 c) c' r; M2 y. \
- t( ?* l# V' |  s  }3 G[/td][/tr]
2 u/ k% F' r, N% H[/table]

. A4 V- @) K; l2 {7 f6 |/ Y4 v1 c
* H( |0 n2 j6 @+ m3 Q