万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
万达scm系统登陆框sql注入。

: Y) N" d" F; P. J: \% u5 Z, `2 yhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
0 i4 T3 z1 K! t
- M' k5 o; v+ a* d9 E2 V
& \2 T  r6 R4 U0 l500错误。
0 J/ o! t: ]- C. \! p- W
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
/ e5 k# ]" E) ^3 Q: C+ F$ G截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
4 N# u  [+ e# a" q- R' {经过分析，登陆验证的过程应该是：

5 N+ `% J$ \+ A$ i7 @0 C% t/ {取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
. x1 R2 E' n# E
7 N2 B, ?1 a  p, }# f4 P1 B$ Toracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
% R  \  a0 l# V$ N) V: j* h
9 }' `1 J0 R$ f6 Q+ N3 d& K系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
; q' `6 d4 l: A. G漏洞证明：
万达scm系统登陆框sql注入。
2 e% n; y  N; C4 C' u; ^
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; R" \- d& {9 x% c
# w- v1 _8 Q% O) w* u
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
( M  {: W& K8 ~( C$ L
# `8 ~9 y0 k1 a+ V) Z% I
（截图有一点问题）
! U3 y2 V6 }' h# d; b
怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

6 M% p$ n! f; f5 ~" `取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

  J; q# c0 G: r" X: ~$ `" R绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


& J3 P4 C/ z2 l8 C! ^) Aoracle数据库，存在注入点。@大连万达，你怎么看？
( Q" K$ z" k2 s* x. J3 f* T! P​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
- j) u& X9 J% G! @% J8 A! k
3 a+ W. \8 i: l修复方案：
。。。
  h/ w* u8 u& e8 q/ {0 \8 r) O; A

厂商已经确认

[/td][/tr]
4 e( P% s2 c% L( _( W% Q- o[/table]
/ ?5 A! q3 U: Y& ~

7 w/ ^$ @' Q1 \7 C  |9 X5 K1 Z