万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
. C. f) e7 v. K8 F" I0 {: ]; |* M详细说明：
万达scm系统登陆框sql注入。
1 f! t* e9 o4 `( Y4 }3 l
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。
! E7 F4 [8 P$ y% u
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
; f3 c. f& d7 K. |8 h3 Phttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
) I) j: d& l' q& q经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
# Q4 K, W! ^. Y# _# ?% n0 ?, ?, dhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

/ O% W5 M/ L2 s  l' y3 V5 Xoracle数据库，存在注入点。@大连万达，你怎么看？
. ~$ G# K/ ?% f: Z' lhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
9 ?0 f: w" U! e  u  q& }7 K
/ D3 G; I; C* s7 g! I, G3 Z1 w
500错误。

6 r1 a: K" k6 x2 D. V  B用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
) a) A4 a1 Q" y- a+ ehttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

3 D4 H# ?  \3 b* @1 f: W1 |
（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

& P! D9 b- k9 O% _取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
+ T% B( e( z7 M! R% V' V, i5 Q
  l9 r5 F& M* W; T2 c# |. U绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
, X- t, @: t; r6 i- J5 z8 t

oracle数据库，存在注入点。@大连万达，你怎么看？
2 ?- J1 I" {, P​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
- r4 n8 o. C  l1 T1 W- w
- W  o) g7 S* K修复方案：
。。。
2 z6 ?% {; t% @
7 X$ T( w# I) q
厂商已经确认

[/td][/tr]
0 u, H! ~) Y  `, p[/table]
5 n. u* g; K6 {& `) D+ n% @5 I

  C8 m# P/ u* O* w- s) O