万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
0 Q1 U& m1 V) N) Y3 A& P, Y详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
6 ]: I8 C) |3 S( B4 V* g: d+ `
8 M0 j4 V) }  ^8 i6 q1 g& n2 \" q
% O4 l. C- [( }2 G  R3 F4 K$ i500错误。
6 P" ^" l* ]9 p6 a
3 p; [- w' F2 R2 t- u- j' k$ R9 P用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
$ |0 f5 w9 v3 }* s经过分析，登陆验证的过程应该是：
9 G, l2 z. z) S6 I
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
. D6 f  I9 L& ]9 X2 Zhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
0 g* _2 a/ R6 H2 y) Q5 q* J9 {+ k
oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
0 j* ?. i9 X0 b# T3 q# W4 C
1 D+ e5 X4 ^+ {8 N9 O0 `0 d) @( B系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
7 _& i$ M3 A  u0 r漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
) a- Y7 I: ?- N% w, t' y4 n# ~: ^
2 ]+ p$ ]0 O" t+ m, G2 i
, q' _) o, h" C4 i! g1 \500错误。
1 q! n6 Y& Q0 [% |0 Y# e
- R, N5 R2 K; l& K用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
+ `0 E) J0 t& s( Q0 b9 w' d8 C' l* Shttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
* q- D9 D/ k: O6 a1 l+ j4 D
& R/ f& T) y7 Z0 @# x
3 Z; f: I, }5 X# P（截图有一点问题）
0 x7 y! }# J) l! e  C
/ |7 x; T! ^+ O8 ?3 y& K怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
# x* V# k9 h* ^& A' L9 m* |5 |" U
9 q. {  K8 l! h8 I- d: d( T+ C取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
  \) D  N& @* F
6 z1 d2 ~, J4 w) z; U绕过：
. r  m1 r7 y. b1 |http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
# b" I" y1 d3 R9 G. \2 y

oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
. F9 M6 F; E1 `9 l' J3 Y
修复方案：
, J3 |: w) }* s。。。
, G4 q1 v) v3 W1 w; n' ^7 q/ b/ J
/ V0 y* x# G+ v9 _0 g) D
厂商已经确认

[/td][/tr]
+ a' O4 J4 w( z4 j# M" e. O4 G: V[/table]
; K$ ^  A  W; m! A
8 a" |# i: M9 c# l* [