万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
# F0 i/ `3 W. N) o" t详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


* H5 }9 L/ W* X) h' B500错误。
  Z  x# G) Z$ R4 I4 }3 E& ]4 ?
( q# q: ^8 N% `1 E( ~# G6 w用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
$ r- \$ y: ~& S) K3 ?http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
- G7 a. Y/ X2 H" k  g2 g3 n经过分析，登陆验证的过程应该是：

% y( S/ @0 U" c/ a3 j2 F取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
1 u# c0 P# j3 g. thttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

5 G6 [% e  O0 }) xoracle数据库，存在注入点。@大连万达，你怎么看？
9 ]/ X8 M* |& H0 v) Ghttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
; c- Z! U3 Y+ c" t( d+ r3 v1 {! p" i
系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
4 \# X" z8 Y' C  _3 \万达scm系统登陆框sql注入。
- V' X+ R; h1 n. p; W* ]( U& }
% X, z/ q& i( ]+ {) v3 F" h  ohttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
% |! x# ~) W. L

" f4 F4 N& ]. w9 d/ r( m* x500错误。
! A( V9 Q+ t9 P8 t" d+ v9 Q
( _6 R( m: e7 V, d2 o  Q9 S用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
5 |& {. g  F8 B) N+ w- s5 ghttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）
4 F7 n3 X# [' j- B
" a9 `0 Y' E. x; O5 E怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

9 E/ ?+ T9 K! @; U/ x! F1 j取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

$ y/ ^8 X, s5 S9 H6 f: k绕过：
) p# v! D+ T  b  Yhttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

) \3 c1 e- K" R& H) W- Q& Z9 X修复方案：
8 T5 r9 x' L9 E8 E+ k" Q。。。
- b. W% }  c) _3 w7 i  x
; J' R5 L, H& e/ z3 n. Q
4 f, X4 m1 e0 I6 X; `: ]厂商已经确认

[/td][/tr]
+ m! [+ R- v& `% t; S8 u$ @[/table]
+ C) I1 \3 w$ _. J) F
8 T7 ?2 x  [7 }" P8 t
6 f5 Z8 q0 n7 B