华磊科技物流系统前台SQL注入漏洞复现2

0X01 产品简介

华磊科技是一家专注于为物流企业提供高效、优质信息化解决方案和产品服务的软件服务企业。其物流系统产品以先进的技术和全面的功能，助力物流企业实现数字化转型，提升运营效率和经济效益。华磊科技物流系统是一款集货物管理、订单处理、运输跟踪、库存管理等功能于一体的综合性物流管理软件。该系统通过自动化管理和数据分析，帮助物流企业优化内部管理流程，提高物流作业效率，降低运营成本。

0X02 漏洞描述

华磊科技物流系统 getOrderTrackingNumber.htm接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。