圣桥ERP queryForString.dwr SQL注入漏洞复现

0x01 产品描述：

         杭州圣乔科技有限公司主要研发全套工业企业ERP系列软件产品，现在公司已经形成ERP 软件、OA办公管理、等四大系列二十小类软件产品。致力于为政府、教育、医疗卫生、文化事业、公共事业（电、水、气等）、交通、住建、应急、金融、电信运营商、企业等用户提供专业的信息化、智能化、数字化服务。
0x02 漏洞描述：

        圣桥ERP NamedParameterSingleRowQueryConvertor.queryForString.dwr接口处存在SQL注入漏洞，未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)。
0x03 搜索语句：

Fofa:title="圣乔ERP系统"

0x04 漏洞复现：