万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
0 p, }$ Y# K3 H2 F  }- X" ~6 a) L详细说明：
万达scm系统登陆框sql注入。
" H) u0 k" T9 _
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
) O5 t! |7 r: s5 y

500错误。
  D, N$ e& v! F7 m+ ^3 A
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
3 x( U& U7 g& v' H1 f7 dhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
* F& E% `% P% t" P, @截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
* \$ |& S! E8 V6 _0 b
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
: f$ w6 g8 b. r' Xhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
+ b9 c) Y/ J. Q
oracle数据库，存在注入点。@大连万达，你怎么看？
: b/ e5 e; w. l5 c0 Y! h* Ihttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

% O0 }- R; J5 C4 |系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
1 t- j" p! p$ r1 ?% a3 G4 s) h
  p/ }$ N" g1 t5 @8 o0 f, z
500错误。
) i  f0 t- X: i7 o4 a0 m
3 x) p0 a$ P2 |用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

  l; ~: f6 Z' E: V
（截图有一点问题）

' O7 y+ k1 d4 f5 ~. U) F) l. t怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

2 l0 f7 H4 h2 w! p% G6 W取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。

. Q5 E& H. k  E4 d- B绕过：
+ `* @  E  d! ]0 G/ `http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

6 j& k- t% k" `
oracle数据库，存在注入点。@大连万达，你怎么看？
* o4 L' {  o$ [​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
$ }$ e( X! X' D1 r4 J1 L- j。。。


厂商已经确认

[/td][/tr]
[/table]
+ x, _0 X& o6 s' D2 d2 Z

" e; {8 @- n) G2 P