万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
! [% B8 o' Y9 f% j" N, y6 c详细说明：
万达scm系统登陆框sql注入。
7 p! A: _% s; m; r: e
7 v+ O! U1 n. q0 lhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
, Y: B3 \# G3 B! f

3 o4 n4 H* [. ?: m" [* q# C* z500错误。

# [; \0 u) b- z9 y用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
* P7 r( f2 d( e: E6 Z+ |截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
1 ~  ~. R7 f3 _. s1 r2 g6 D- G经过分析，登陆验证的过程应该是：
& Y6 T: I& h! l, }3 s
- r$ q* [4 X2 f! ]' o4 b: i; i取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

' v: _* T. j* S) N系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
0 X. `7 E3 U' `, |5 M万达scm系统登陆框sql注入。

- u$ {  T3 T4 h) N* Khttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

9 K- N& a+ X/ K7 t  ?' l
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png
3 Z& e7 J5 X5 ?6 [( P
, ~( k1 N9 L  w% B3 h8 F( h
（截图有一点问题）
: m* v& q3 l$ j/ l
- v. [+ _" M* y7 K; E, h7 _怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

% M. H# C0 c+ D) H
oracle数据库，存在注入点。@大连万达，你怎么看？
3 _3 w- Y2 ]# Y: x* U5 Z​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

/ F+ l0 K4 d! w6 I" R5 `修复方案：
。。。
# Q/ U) g6 E  D( \4 Y$ [

厂商已经确认

[/td][/tr]
* e  f( q5 X8 l. `6 l[/table]