0x01 产品简介
聚恒中台是山东聚恒网络技术有限公司打造的一款BPM流程管理系统,平台以低代码敏捷开发、流程协同、移动互联、软硬互联、大数据分析等前沿技术为支撑,平台包含8大引擎、16种业务组件,支持三种部署方式,四级权限控制,五大应用模式(PC、手机、PDA、工业平板、工位机),六大主流品牌erp双向集成,七大企业常规应用场景(预算、HR、门户、协同办公、智慧生产、CRM、集成应用),为企业信息化建设提供一站式服务,帮助企业快速实现数字化。
0x02 漏洞概述
聚恒中台系统 data.ashx 接口处存在SQL注入漏洞,
未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。
0x03 复现环境
FOFA:
icon_hash="-2049533275" || icon_hash="-737808640" || icon_hash="-1557056363"
0x04 漏洞复现
PoC
POST /s
