宏景eHR downloadall SQL注入漏洞复现

0x01 产品简介

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。面向复杂单组织或多组织客户，支持流程，B/S架构。特别适合集团化管理和跨地域使用的产品，融合了最新的互联网技术和先进的人力资源管理理念和实践，更好地支持异地办公和网上流程，加强了人力资源业务的集中管理和协同，支持集团管控、目标管理、领导决策等应用。HJ-eHR主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备了报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。

0x02 漏洞概述

宏景eHR downloadall 接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

0x03 复现环境

FOFA：app="HJSOF