万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
0 O) X( v& f# A- V详细说明：
, h- y+ o1 o2 N万达scm系统登陆框sql注入。

# A8 y( B- @) Q3 ohttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

5 \7 a. G. G7 F% Z/ H" A3 [9 Q; K
* M; z" ?( O( {* k4 e9 F500错误。
; \- x9 \$ M" Q# H
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
3 ?1 D& Z1 K1 I- [# H截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
( c5 D! f/ ^: y- P8 z: D7 a2 S, F. m经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
6 H$ c8 ~5 ]8 Thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
: m$ s5 H! y: q4 I/ @3 M: V' Y/ ~
4 K5 L: q6 M" q7 @1 J" o5 W  r* doracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
/ a7 G6 w3 g: g9 ]6 L( p漏洞证明：
9 t+ o$ v  E  @/ ]7 [万达scm系统登陆框sql注入。
, @% V" r) F+ v: T) y
! y; O- V, l$ r0 P* z4 ~http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
- z" v* w* C5 s, x
& p. w- Z. E$ z" q) m' P; t
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
3 d0 M' w- i3 o
9 @  u% y/ ^/ w, m+ r
; T5 w/ i# F* S4 S（截图有一点问题）

- i2 k/ }; i7 Z# @5 `& y% [怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
  Z1 }3 k; ~) f" V: M) K; l. S$ ~3 A
, E( B! S% X8 |取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
" X1 j6 R0 U. h  x8 {$ Q
绕过：
% h' i: ~6 }* t+ _; |9 ?http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

. x5 d; U0 I0 ^4 e8 Q2 w
; e" {5 P+ x& {, H; O6 `0 J3 Loracle数据库，存在注入点。@大连万达，你怎么看？
- ?, E9 M6 Q. I6 K. s$ W2 s​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
4 E' R  e! q! g
2 w) y6 q9 {- [6 S* L1 _修复方案：
。。。


8 J0 A6 r8 n9 N. B5 z, Y厂商已经确认
/ w. M$ l9 `. t
[/td][/tr]
[/table]
0 p% m8 c% p& _1 i, s7 }) B
! m' L0 ], D( O2 Q8 q: s$ T, r
8 _9 @5 p3 {+ H. M8 q/ ~