0x01 产品简介

“大华智慧园区综合管理平台”是一款综合管理平台，具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配，满足多元化的管理需求，同时通过提供智能服务，增强使用体验。

0x02 漏洞概述

由于大华智慧园区综合管理平台getNewStaypointDetailQuery接口处未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限。

0x03 复现环境

FOFA：app="dahua-智慧园区综合管理平台"