找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2742|回复: 0
打印 上一主题 下一主题

万达供应商系统SQL注射漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-24 20:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:万达某分站sql注入。敏感信息泄露。% b& K& n4 L  d7 m5 j
详细说明:8 a" H2 Z" i/ |) W" _( t9 r
万达scm系统登陆框sql注入。- l' M& x8 X; ]0 u* |

1 y% ]' l+ `  D; Chttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27( E, E; Z' v% y# S. W* [

7 r4 X% f3 r, R7 _6 R& {2 ^$ S8 k+ M9 b6 E' W  e& i
500错误。; d5 L/ |# ~! Q+ E- Y1 n
/ A; x# L; T4 f, Q9 P' s
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
. a% Q8 H2 z3 v8 k& R2 c) rhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
: C: h7 i+ M0 T" x截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)/ z# w3 V- i7 l( G! B0 B# l) q
经过分析,登陆验证的过程应该是:' R- S; Z4 L! H" Z% n  O! W& n
, ]; M6 t: x8 R- e* {2 v- B
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
! t# c2 S) c/ Z- x7 u0 s" b+ jhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png' \) c, t6 U  T. M7 C

4 A1 o. S, q  U. B' K( v4 j! a  |4 horacle数据库,存在注入点。@大连万达,你怎么看?) ]  w. b0 M% A+ Z5 I" Z" n* S2 c
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
/ Q+ h4 l: B' d8 Q$ ?& K# t
0 e0 n  J! b5 n8 O5 @; f. J系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。* F; V. X" H9 ^8 m% f
漏洞证明:1 n! D$ z* W& u3 X
万达scm系统登陆框sql注入。
+ `) r- E' U4 b. a$ l# t( H+ p( c; m! c9 f
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
0 A, T: I# D, U' B
+ Y: T+ `8 m% ^; ^0 ~$ v
# I: x( a  v/ I500错误。
, p% A$ A* ^! G. a/ ~
# C* w: X4 }8 n用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。4 q/ Y# A' h+ H' P" o3 C/ f
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
0 F9 `( G2 I; N0 d1 k% j% A! a
3 `& V. W& H; x# P- T
6 v% ~8 v, O2 S/ A4 H  S2 H) p2 t8 R(截图有一点问题)
) ^9 T) B( ]) s% Y, @) r$ a  `5 u8 P& {# Z( a
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:' l5 j) B' Z% i/ x# E& b" J

; l$ V1 j2 c7 O% X+ j取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
1 R- B) J6 H3 x7 i8 n! y; D/ ~. h) V- j0 y
绕过:
  O; q% t1 J* a; uhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
) J' v) v; ]3 r+ P& O5 ?9 S. F" X: s  s) g5 {: }9 a4 x

  r# E* U# F$ v$ C# z6 A3 @oracle数据库,存在注入点。@大连万达,你怎么看?
  a/ z! d9 R; O  H1 Y​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。
! w, M3 ]- O+ ]! q0 {' H. f! V# |- c) O/ v- F9 d
修复方案:) \) e1 w* `0 ?" O
。。。% o# k, g* u' o* h/ `, i& m

: M1 m& _2 d, A' A) Z* ]! `  p6 X4 A( V3 X/ a
厂商已经确认  o" w# F) f* n0 |2 K3 F

, j: `, z, [" R% h/ N* J7 O[/td][/tr], i9 D0 T5 x: ^" e1 a7 q) Q* e' @
[/table]* J& ^6 i1 u3 V

4 y  N0 s  X( D8 t
4 G# ^& @& [( K( M
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表