0x01 产品简介
明源地产ERP是一款专门为房地产行业设计的企业资源规划(ERP)系统,旨在帮助房地产企业实现全面的信息化管理,提高运营效率和管理水平。系统涵盖了项目管理、财务管理、供应链管理、客户关系管理(CRM)、人力资源管理等多个核心功能模块,通过整合企业的各个业务环节,实现信息的统一管理和高效协同。该系统在房地产行业具有高度的专业性和适用性,能够满足不同规模和类型企业的需求。适用于各种规模和类型的房地产企业,特别是需要进行项目管理和资金管理的企业。无论是大型企业还是中小企业,都可以从明源地产ERP系统中受益。例如,大型企业可以利用系统的全面性和集成性,实现复杂的业务流程管理和数据分析;而中小企业则可以根据自身需求,选择适合的功能模块,优化资源配置,提高运营效率。
0x02 漏洞概述
明源地产ERP VisitorWeb_XMLHTTP.aspx 接口存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。
0x03 复现环境
FOFA:
body="/_common/scripts/md5-min.js"
