企望制造ERP系统 drawGrid.action SQL注入致RCE漏洞复现
0x01 产品简介
企望制造ERP系统是一款专为制造企业设计的企业资源计划(ERP)软件,旨在优化企业的资源配置,提高运营效率,并增强企业的竞争力。系统集成了财务管理、生产管理、供应链管理、客户关系管理(CRM)、人力资源管理(HRM)等多个核心功能模块,能够全面覆盖企业的各项管理需求。该系统采用先进的技术架构和友好的用户界面设计,支持多终端操作,包括PC、手机、平板电脑等,确保用户能够随时随地访问系统,提高工作效率。
0x02 漏洞概述
企望制造ERP系统 drawGrid.action 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x03 复现环境
FOFA:title="企望制造ERP系统"
0x04 漏洞复现
PoC
POST /mainFunctions/drawGrid.ac