万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
7 m1 g9 P" ^, h+ N1 Y4 {; g% ^万达scm系统登陆框sql注入。
& r* c- b1 g1 w' g6 V+ W
1 ?- }3 y$ s4 O4 Y4 mhttp://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

1 l# i) b: A" T* M6 w5 m! I
500错误。

# y6 B) n; Z& k7 s用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
6 G, d+ B1 I& H( fhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
) H, o6 v2 S( f- n" N9 S. ]截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
, o7 r) L# z! x! d- n经过分析，登陆验证的过程应该是：
0 O8 \( ?  g" B
+ P0 D. g1 N( c取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
- C* c+ s. R8 Q4 Ahttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
# O  k9 q7 Q7 [- m% e
& b6 T/ c' Y% W0 b3 Doracle数据库，存在注入点。@大连万达，你怎么看？
http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
3 K, K. z, ]0 `( l# s  H6 T& z% b0 m
5 w: k: ^% r* A  \3 L+ H2 W系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
$ `5 D9 E0 d9 |+ r& @9 `; Y* l漏洞证明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

( H' w: U; `% e: V$ j
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


（截图有一点问题）
2 s- }  J% {5 i& f3 L
+ R* ^- W$ x& h' G: J怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
- |0 H/ A) z0 i5 a
* q+ X/ ]$ P3 F; S" l取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
0 j' ~4 t) D' M1 V/ y+ Z' ^2 s
绕过：
7 E9 Z7 Z  e7 c+ N7 ihttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

  k: l7 r% a" w# {0 G( ]修复方案：
9 e( @  o' }  H5 k。。。

; g6 k9 [! b: C6 w5 J9 j% ^
2 N( Q7 x0 T+ i- b2 Z' n厂商已经确认
3 k8 N" I" y! Z2 R9 X
4 v/ B% v  h( [; p1 h4 D$ s[/td][/tr]
[/table]

( }7 T: c" }8 F3 {3 w