用友畅捷通CRM存在默认空口令漏洞

最新推荐文章于 2024-04-11 14:57:37 发布
最新推荐文章于 2024-04-11 14:57:37 发布
阅读量433 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/130310701
版权

文章目录

用友畅捷通CRM存在默认空口令漏洞

1. 畅捷CRM简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

用友畅捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们“提升营销能力,网罗天下商机”。

2.漏洞描述

用友畅捷通CRM存在默认空口令漏洞,攻击者可以利用默认口令登录网站后台,以后台权限进行敏感操作,构成信息泄露风险。

3.影响版本

4.fofa 查询语句

title=“畅捷CRM”||icon_hash=“-1068428644”

5.漏洞复现

默认账号 admin 空口令
用友畅捷通CRM存在默认空口令漏洞
用友畅捷通CRM存在默认空口令漏洞

6.POC&EXP

7.整改意见

修改默认口令࿰

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
用友CRM存在SQL注入漏洞
nnn2188185的博客
04-21 545
CRM系统存在SQL注入漏洞,攻击者可以利用该漏洞获得网站后台数据库信息,构成信息泄露风险。
用友捷通T6数据字典
02-12
用友T6系列软件数据字典。带多个模块的数据字典。数据库表结构表名、数据字典 用友软件T3数据库表结构表名、数据字典
运营商渗透测试与挑战
ru_li的专栏
02-09 577
最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集团层面的关注重点有所转移,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战,这就需要服务团队与时俱进,满足客户的服务要求。文章对这些方面进行了分析与总结,希望对安全服务人员的渗透测试
渗透笔记之web漏洞概述
晚风不及你
03-13 1566
文章目录1.敏感信息泄露风险等级敏感信息泄露描述敏感信息泄露的危害敏感信息泄露修复方式2.SQL注入风险等级SQL注入漏洞描述SQL注入漏洞危害SQL注入分类SQL注入工具SQL注入相关书籍SQL注入漏洞修复方式3.XSS跨站脚本风险等级XSS跨站脚本描述XSS跨站脚本攻击漏洞危害XSS跨站脚本攻击分类XSS跨站脚本的相关书籍XSS跨站脚本检测工具XSS跨站脚本修复方式4.CSRF伪造客户端请求风...
漏洞复现】用友捷通CRM create_site.php SQL 注入漏洞
最新发布
qq_34780861的博客
04-11 199
捷通CRM系统create_site.php存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。
【1day】复现用友捷通CRM create_site.phpSQL注入漏洞
记录并分享学习安全的知识点..
08-08 308
用友CRM是专为小企业量身打造的智慧型客户关系管理应用,它包括客户、商机、报价、团队管理、客户营销、客户服务、主题查询及统计分析,帮助企业管好客户、管好业务员、做好销售业务;系统还提供通知、审批、短信、文档、任务等协作功能,提高销售团队的协作效率,其中 create_site.php接口存在时间盲注漏洞
漏洞复现】用友捷通TPlus InitServerInfo.aspx SQL注入漏洞
https://blog.echo234.cn/
03-25 437
捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在InitServerInfo.aspx接口处未对用户的输入进行过滤和校验存在SQL注入漏洞
漏洞复现--用友 捷通T+ .net反序列化RCE
qq_53003652的博客
10-25 1251
捷通T+是一款新型互联网企业管理软件。全面满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。该产品存在.net反序列化可导致RCE。访问执行命令的日志文件即test.txt。执行ipconfig /all。此脚本来自揽月安全团队。
用友U8 crm客户关系管理任意文件上传漏洞
weixin_68647219的博客
10-07 174
工作发现,用友U8 crm客户关系管理任意文件上传该漏洞是由于ajax/getemaildata.php任意文件上传漏洞,可能导致未经身份验证的恶意攻击者可以上传恶意文件,从而获取目标服务器的控制权限。2.资产测绘鹰图:body="“用友U8CRM”"&&ip.country=="中国"或title="“用友U8CRM”"&&ip.country=="中国"
用友 捷通t3 t6 u8固定资产模块修复工具
08-25
用友 捷通t3 t6 u8固定资产模块修复工具
用友捷通T+打印插件
11-08
用友 T3 T+ T加 捷通 打印插件 用友T3已经淘汰 新的T+ B/S 结构 浏览器操作 但是用友捷通本身浏览器 占用资源 不方便 用uc,360,360急速等等本土chrome双核浏览器 既不失去常用浏览器数据 也能更快操作打印
用友捷通T+玻璃行业实施解决方案
03-10
用友捷通T+玻璃行业实施解决方案 用友捷通T+玻璃行业实施解决方案是基于Yonyou Network Tech Co.,Ltd.的企业管控解决方案,旨在帮助玻璃行业企业解决财务业务一体化的问题。该解决方案通过实施捷通T+财务软件...
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
漏洞复现】用友CRM存在SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
05-06 1064
用友捷通T-CRM用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。用友CRM存在SQL注入漏洞,攻击者可通过使用工具获取数据库相关敏感信息,拿到服务器控制权限。
漏洞复现】捷通T+ GetStoreWarehouseByStore接口处存在反序列化RCE漏洞
weixin_52204925的博客
03-15 664
捷通T+GetStoreWarehouseByStore接口处存在反序列化漏洞 ,恶意攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。
用友捷通RRATableController存在反序列化漏洞
qq_36334672的博客
04-01 257
用友捷通 T+ /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx接口存在.net反序列化漏洞,未经过身份认证的攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。
漏洞复现 用友捷通T+任意文件上传漏洞(CNVD-2022-60632)
nnn2188185的博客
04-15 646
2022年8月29日和8月30日,捷通公司紧急发布安全补丁修复了捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。
用友php漏洞,用友CRM注入漏洞(无需登录通杀所有版本)
weixin_34977368的博客
04-10 1155
用友TurboCRM存在通用sql注入。http://**.**.**.**:8081/login/login.php如下图找到找回密码页访问http://**.**.**.**:8081/login/changepswd.php?orgcode=1&loginname=system输入信息抓包POST /login/changepswd.php?orgcode=1&loginna...
csdn 用友捷通二次开发
01-28
CSDN是一个开发者社区和学习平台,而用友捷通是一款流程管理系统。CSDN上有很多开发者分享了在用友捷通系统的二次开发经验和技巧。 在进行用友捷通二次开发时,可以通过CSDN获得许多有用的资源和信息。首先,CSDN上有很多针对用友捷通二次开发的专题文章和博客,这些文章详细介绍了如何利用用友捷通的API进行开发,如何扩展现有功能等。这些文章可以为开发人员提供有关二次开发的思路和技巧。 其次,CSDN上有专门讨论用友捷通二次开发的论坛和问答社区,开发人员可以在这些平台上提问和解决问题。这里有很多热心的开发者愿意帮助其他人解决二次开发中遇到的问题,共享经验和技巧。通过参与这些讨论,开发人员可以与其他有经验的开发者建立联系,并互相学习。 此外,CSDN还推出了一些在线课程和视频教程,这些教程可以帮助开发人员快速入门用友捷通的二次开发。通过这些教程,开发人员可以了解用友捷通系统的基本原理和开发流程,掌握开发所需的技术和工具。 综上所述,CSDN是一个学习用友捷通二次开发的重要资源。通过CSDN,开发人员可以获取到许多有用的信息和工具,进一步提升自己的开发能力,并在用友捷通二次开发中取得更好的成果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值