万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
. a$ a7 a6 ]7 h5 [) h/ e万达scm系统登陆框sql注入。

6 x" T! r8 J1 F/ F5 U& c3 s- Fhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

  @3 M/ q! ?% `
500错误。
+ M' L* s! T( ]1 f  X
7 [( m" y- `2 n8 a0 ]用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
/ a. ^: n. {1 q. h* Xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

, ~1 l% R9 a1 X" G. ]取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
% F+ Z/ e0 m. D2 f" Jhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

# p' I: b$ s8 U0 B6 ^oracle数据库，存在注入点。@大连万达，你怎么看？
  x+ _8 x5 O) b  D: ?% Uhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
/ U" V1 x6 {; D/ Z% ]
% T3 X5 R* M  }0 T' B( s; Z" ^系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
" K4 z3 }+ t/ q6 T( C& g3 ?漏洞证明：
, ]5 T; l% G9 m3 t, u' F万达scm系统登陆框sql注入。
( O) v1 W7 ]* f
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

& Q, Z+ F5 Y4 z- K6 K+ D, u- f
7 c6 g3 u* `; @4 E500错误。
% [8 C. H: L/ ], m/ K  z! v
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
; N: g$ l: L0 y0 E8 H. N5 y

6 q% [1 ~3 F* F（截图有一点问题）

) @$ J& I- J9 o! z$ B怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

! J: ?' B8 J/ w1 b# D, s取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
/ P4 Q3 X7 B' m7 \. i
绕过：
" o& K/ r/ S. r3 }/ nhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

8 ~: y  J' o4 a; _* ?" F& r" ~
. e% W3 j& j/ Z' Ooracle数据库，存在注入点。@大连万达，你怎么看？
6 x5 N: T% U, w) p- W. W- \9 S" x​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
" H* U9 Q% }. f+ B5 b! A
修复方案：
。。。


厂商已经确认
, u* t) I; X' h5 ]
0 p. S4 o& n0 S9 j1 }% K/ [[/td][/tr]
[/table]