【漏洞复现】用友畅捷通CRM get_usedspace存在SQL注入漏洞

最新推荐文章于 2024-05-29 21:26:51 发布
最新推荐文章于 2024-05-29 21:26:51 发布
阅读量210 收藏 5
点赞数 2
分类专栏: 用友 漏洞复现 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34780861/article/details/137641596
版权

0x01 阅读须知

“如棠安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!”

Nx02 漏洞描述

      用友畅捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。畅捷通CRM系统get_usedspace存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。

Nx03 系统指纹

鹰图:web.icon=="223dcd70f982801e9177078a818a9b59"

Nx04 系统主页

Nx05 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】用友畅捷通CRM get_usedspace存在SQL注入漏洞

Nx05 修复建议

联系厂商升级系统版本
如棠安全
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
捷通CRM SQL注入漏洞复现
0xSec
06-13 1573
用友CRMcreate_site.php处存在SQL时间盲注,攻击者可以利用该漏洞获取网站后台数据库敏感信息,进一步利用可接管服务器权限。
用友CRM存在SQL注入漏洞
nnn2188185的博客
04-21 534
CRM系统存在SQL注入漏洞,攻击者可以利用该漏洞获得网站后台数据库信息,构成信息泄露风险。
漏洞复现用友CRM存在SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
05-06 1048
用友捷通T-CRM用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。用友CRM存在SQL注入漏洞,攻击者可通过使用工具获取数据库相关敏感信息,拿到服务器控制权限。
CRM 存在SQL注入+后台文件上传漏洞
qq_58091216的博客
12-07 1121
CRM是面向小企业全力打造的简单、实用的客户关系管理应用!CRM帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为。CRM系统存在SQL注入和后台文件上传漏洞,攻击者可以通过上传木马执行任意命令,获取服务器管理权限。
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1460
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
用友U8 CRM系统help2 任意文件读取漏洞(1day)
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-20 575
U8+CRM》是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。软件立足代理销售服务行业管理一体化的高度,以“整合、专业、智能、捷”为产品研发理念,弥补了代理销售服务行业信息化管理的空白,为其经营管理的腾飞注入了强大的力量!技术平台采用JAVA跨平台BS应用开发技架构,支持 SQL Server数据库,支持Chrome、 Firefox等各种主流浏览器应用。
【传送点】上千漏洞复现复现集合 exp poc 持续更新
失心少年
11-28 3950
漏洞复现】OpenTSDB 2.4.0 命令注入(CVE-2020-35476)漏洞复现漏洞复现】熊海cms 存在sql注入 附poc【漏洞复现】Array VPN任意文件读取漏洞漏洞复现】好视通视频会议系统(fastmeeting) toDownload.do接口存在任意文件读取漏洞 附POC【漏洞复现】金蝶云星空管理中心 ScpSupRegHandler接口存在任意文件上传漏洞 附POC【漏洞复现】DPTech VPN存在任意文件读取漏洞
用友OA检测工具-fupo_for_yonyou
siu~
08-16 398
用友漏洞检测,持续更新漏洞检测模块
用友捷通T+_产品介绍
02-12
用友捷通T+_产品介绍 PPT, 可用于 用友 T+售前演示等
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
用友CRM_客户_UE_V1_0919(1).rp
10-24
用友CRM_客户_UE_V1_0919(1).rp
用友捷通T6数据字典
02-12
用友T6系列软件数据字典。带多个模块的数据字典。数据库表结构表名、数据字典 用友软件T3数据库表结构表名、数据字典
用友TurboCRM_EAI-U9安装及使用手册.docx
02-03
用友TurboCRM_EAI-U9安装及使用手册.docx
黑龙江等保测评:强化网络安全的北方防线
2301_79527080的博客
05-28 418
二、黑龙江等保测评的实践探索1. 法规政策引领:黑龙江省积极响应国家网络安全法律法规要求,出台了一系列地方性政策文件,明确了等保测评的实施标准和要求,为全省范围内的等保工作提供了法律依据和指导。2. 强化合规意识:等保测评的实施增强了组织和个人的网络安全合规意识,推动了网络安全法律法规的落实,形成了良好的网络安全文化氛围。3. 促进产业发展:等保测评需求带动了网络安全服务市场的繁荣,促进了本土网络安全企业的成长,同时也吸引了国内外先进技术和服务的引进,为黑龙江乃至东北地区的数字经济转型提供了安全保障。
2024年中国金融行业网络安全案例集
2301_76786857的博客
05-27 302
随着科技的飞速发展,金融行业与信息技术的融合日益加深,网络安全已成为金融行业发展的生命线。金融行业作为国家经济的核心支柱,正在面临着日益复杂严峻的网络安全挑战。因此,深入研究和探讨金融行业的网络安全问题,不仅关乎金融行业的稳健运行,更关系到国家经济的安全和社会的稳定。
“区块链技术在网络安全领域的革新应用与挑战“
2403_84237550的博客
05-29 507
区块链技术,以其去中心化、不可篡改和透明度高的特性,在网络安全领域展现出了巨大的革新潜力,同时也带来了一系列新的挑战。以下是区块链技术在网络安全领域的应用及其面临的主要挑战的深入分析。2. 身份认证与管理:利用区块链建立去中心化的身份认证系统,用户可以控制自己的数字身份,减少身份盗窃和欺诈的风险,提高身份验证的安全性和效率。2. 隐私保护:虽然区块链增强了数据的完整性,但公开的区块链设计可能暴露用户的部分交易信息,需要更先进的加密技术和匿名机制来加强隐私保护。
2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项第三阶段任务书
最新发布
Geek极安云科-致力于网络安全事业
05-29 340
请获取FTP服务器上对应的应用程序,连接Pwn1服务器的10000端口,对服务器进行漏洞利用,找出其中隐藏的flag,并将flag提交。请获取FTP服务器上对应的应用程序,连接Pwn2服务器的10001端口,对服务器进行漏洞利用,找出其中隐藏的flag,并将flag提交。flag格式 flag{}(30分)请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。图1 网络拓扑结构图。通过找到正确的flag值来获取得分,它的格式如下所示:flag{}
用友u8 cloud 反序列化rce漏洞复现
12-05
用友U8 Cloud是一款企业级管理软件,但是近期被发现存在反序列化远程命令执行(RCE)漏洞。要复现这个漏洞,首先需要一个能够触发反序列化的点,比如一个可控制的对象。接下来,我们可以构造一个恶意的序列化数据,然后将这个数据传递给U8 Cloud系统,让系统进行反序列化操作。当系统对这个数据进行反序列化时,就会触发我们植入的恶意代码,从而实现远程命令执行。 为了更具体地说明这个过程,我们可以借助一个简单的例子来解释。假设我们构造了一个包含恶意命令的序列化数据,并将其发给U8 Cloud系统。系统在接收到这个数据后,会将其解析,然后执行其中的命令。这样一来,我们就成功地利用了反序列化漏洞来实现远程命令执行。 当然,为了成功复现这个漏洞,还需要一些具体的技术细节和环境配置。需要了解U8 Cloud系统的结构和漏洞的具体利用方式,还可能需要使用特定的工具来构造恶意的序列化数据。在复现过程中,一定要格外小心,确保不会对受影响的系统造成损害。同时,及时向厂商反馈该漏洞,以便及时修复和加强系统安全防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值