万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
  l8 b% E" u+ Z5 m1 R3 r6 L9 k详细说明：
万达scm系统登陆框sql注入。
. A% ?# o" t$ s, U  y8 m- ?7 k3 g
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27

# M9 X" w; `9 H5 p% j: ]" c
500错误。
& B* Q/ m# O* ]  ^) P
用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
; h2 i: c: Z9 M# }. q2 T截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
经过分析，登陆验证的过程应该是：
: O( F( c/ u# W- t( j
  y: M: G$ U; i& l& E取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
  m3 p, @7 X5 l# b9 Y2 N! ghttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

3 ]. s+ \. l/ I- c0 K: k, koracle数据库，存在注入点。@大连万达，你怎么看？
! A  o+ f9 J% s( Z# P1 b- A7 S6 q  d2 ]http://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png
) k- N6 V) t5 d
$ H3 e1 `# N- X! {) P* R系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
1 m7 o# p! @* U/ M" ^; W# c万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

* m) [5 ?2 N3 A用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png


5 t( J) f- {9 v. f（截图有一点问题）

! I  Q9 H, W! }% C/ T- c& _怎么饶都饶不过去；经过分析，登陆验证的过程应该是：
4 Q, p* }$ \' b$ g& `; W4 [
, l* X! }, I3 H, P# U取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
( _5 R  H. @1 a) K
绕过：
http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1
. i, [  p2 m. v

/ I; r0 u) M, G% U+ y% Noracle数据库，存在注入点。@大连万达，你怎么看？
3 V+ g  T4 @) e- m/ R​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
, m- y' c/ [- _4 [* B。。。

' y1 W2 F( L: v
厂商已经确认

. X9 }' o4 F! U) [5 H+ q' i[/td][/tr]
/ G! L. T$ q/ T- a; D; a0 \[/table]
6 Y/ q) r5 C0 c
% S/ X( m  L3 V' L- s4 g  n1 D7 s