文章总结： 本文披露东胜物流软件GetDetailList接口存在SQL注入漏洞，攻击者可利用该漏洞未经授权获取数据库敏感信息（如管理员密码）甚至写入木马控制服务器。文章提供了FOFA搜索语法用于资产识别、漏洞复现的HTTP请求示例，并给出关闭互联网暴露面和升级版本的安全修复建议。文末推广了包含2500+漏洞POC的付费实战圈子。 综合评分： 70 文章分类： 漏洞分析,WEB安全,渗透测试,安全工具,漏洞预警

东胜物流软件 GetDetailList SQL注入漏洞

原创

北雪网络安全 北雪网络安全

北雪网络安全

2026年5月7日 07:10 山东

在小说阅读器读本章

去阅读

本文章所描述的内容仅供网络安全学习使用，任何人不允许学到技术内容进行非法系统测试，作者不对任何学习文章并进行非法操作的行为负责，由本人自己承担后果，本文章仅供技术学习。

01

更多内容

网络安全学习知识库每日添加最新漏洞并提供python与 nuclei 批量探测脚本：https://pc.fenchuan8.com/#/index?forum=110296

02

搜索引擎

FOFA：body=”FeeCodes/CompanysAdapter.aspx”||body=”dhtmlxcombo_whp.js”||body=”dongshengsoft”||body=”theme/dhtmlxcombo.css”

03

漏洞复现

东胜物流软件是青岛东胜伟业软件有限公司一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。东胜物流信息管理系统GetDetailList接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

GET&nbsp;/MvcShipping/MsChDui/GetDetailList?condition=1<@@VERSION-- HTTP/1.1Host:

04

自查工具

05

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

06

内部圈子

🛠️ 【知名漏洞实战圈，纯干货】🛠️

还在找公开漏洞POC而烦恼？还在为漏洞不会验证而发愁？还在为发现不了漏洞而自卑？这里漏洞圈子解决你的困惑！ 目前已更新poc数量2500+

🎯 适用场景

▫️渗透测试▫️企业漏洞自查▫️攻防演练▫️安全服务▫️合规运营****

⚠️ 重要声明：

▫️仅限合法授权测试，严禁违规使用

▫️虚拟资源服务，购买后不接受任何形式退款

        ▫️付款前请评估需求，慎重考虑

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北雪网络安全 北雪网络安全 北雪网络安全《东胜物流软件 GetDetailList SQL注入漏洞》