万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
! ^6 D; v$ n/ L0 y- h/ v+ R万达scm系统登陆框sql注入。

) X. H) M( X" y, j/ phttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


0 D: i; n; {* m, ~! J% F% J. v8 O500错误。
9 |. x2 v0 L0 ~# R* M$ K( B1 [
# U6 i2 A) V5 B  S; [用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
- o/ X- S; ]4 g# ^! Dhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

. v$ W; B9 H1 Y- G4 coracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
$ M& j3 Z5 R/ O2 m: \& ?
  h6 d* q7 l" N8 x+ H9 w. G系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
1 P) P  F4 C! W  @3 V漏洞证明：
1 u  \# u: o  i- h& Q万达scm系统登陆框sql注入。

6 F, ?, O- e  A; [! Ahttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
9 f9 R' v' A* R3 ^
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

/ S) @1 J5 E$ _) R* S
（截图有一点问题）
- z( R8 G9 t4 O" y( R: [( w6 ^7 u9 k
3 s1 o3 {1 Q, N怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
0 j- ]1 p% v( j) V. Y1 T# t/ N
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
5 ]5 m* N$ d4 [- x! d
绕过：
! u) E% q( f; `: H' `http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
0 u0 ^" W! o7 e$ t# e

9 w. e/ ~( J  Y! a0 ]9 foracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
+ m" ^+ C' b3 X! c6 w
. X- U8 k% e; U; y, X0 e修复方案：
( o! g! H5 i: b/ T。。。


/ j6 F6 I! c; z厂商已经确认

[/td][/tr]
7 q. o; g, H" A- b) o1 L; }4 x& A[/table]

% W$ [9 x, O- Q# g% p