万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
' u; k, S5 o2 a& L! u! C6 s' o万达scm系统登陆框sql注入。
' B, i% P6 B$ c/ j9 k, ?3 i
6 e/ ~" D, x( e4 s2 h' b' O; Ihttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
+ p1 Q6 `6 q! {+ G/ k6 b- a$ K, I

500错误。
' I' q- R' p, W; P; O8 j. B
3 q( L: U# g, l5 v4 }3 Q# w用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
$ a$ b7 g  Z" s( R: s2 ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
; [- _" F2 D! L% `经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
. ]  L; s6 `! N2 |http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
# |( O' n* c, Y- |: A
" v( I9 S7 K* R3 P: u1 v5 Aoracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
: o* R3 n! f0 X  d
* B  G! p3 i% }- a系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
  z2 ]0 B7 ^* h. Q& v3 u* e8 n漏洞证明：
万达scm系统登陆框sql注入。

& T8 ~- ^& O9 ^, l" Xhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


' Y, I+ F, a7 S$ d500错误。

0 p1 A2 @5 Y5 p# a用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

( O2 e6 X# j$ e
（截图有一点问题）
$ R  Y9 c" S9 f; @* `
4 m1 T; D4 {$ m+ P7 u怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
! l. q# `% [# J. U2 v# r
, c6 r' C/ R% p5 g+ z% S2 y+ B+ S' ~取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
' l4 x+ {+ B1 R+ `( R8 r9 ]. u3 o
绕过：
/ X, c) }- v: l( Phttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

8 g) @2 E% Y3 {# {
9 R9 v7 {$ i/ u& Ooracle数据库，存在注入点。@大连万达，你怎么看？
7 Q* `7 V! w9 y​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。

$ E  P$ M6 o6 v! E6 n5 U
$ _  d: p  F$ K* P' x9 `. p* {' @厂商已经确认

0 y' B+ r. X* Q; w4 I. I/ i; z[/td][/tr]
[/table]

8 W' y6 F! r$ R% X0 O- v6 N6 k
& g! |  q/ H3 k2 K' h