漏洞复现畅捷通CRM SQL注入

最新推荐文章于 2024-08-27 09:19:47 发布
最新推荐文章于 2024-08-27 09:19:47 发布
阅读量622 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: sql 数据库 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/131761746
版权
本文详细介绍了畅捷通CRM系统中存在的一处SQL时间盲注漏洞,由于未对用户输入进行有效过滤,攻击者可利用此漏洞获取数据库敏感信息,甚至接管服务器权限。复现步骤包括利用POC验证漏洞存在及构造延时弹窗payload,并建议通过sqlmap进行进一步的爆破测试。
摘要由CSDN通过智能技术生成

免责声明

术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

漏洞描述

用友畅捷CRMcreate_site.php处存在SQL时间盲注,未对后台功能做有效的身份认证与用户的输入进行安全过滤,导致在权限绕过可直接访问后台存在SQL注入漏洞的缺陷路径,攻击者可以利用该漏洞获取网站后台数据库敏感信息,进一步利用可接管服务器权限。
在这里插入图片描述

资产确定

fofa:app="畅捷通-畅捷CRM"

漏洞复现
1.利用此POC出现弹窗既存在漏洞

了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
专栏目录
订阅专栏
漏洞复现】京师心智心理健康测评系统MyReport.ashx存在敏感信息泄露
失心少年
03-21 269
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!漏洞链接:http://127.0.0.1/FunctionModular/PersonalReport/Ajax/MyReport.ashx?
捷通CRM SQL注入漏洞复现
0xSec
06-13 1742
用友CRMcreate_site.php处存在SQL时间盲注,攻击者可以利用该漏洞获取网站后台数据库敏感信息,进一步利用可接管服务器权限。
捷通-CRM|create_site.php处存在SQL注入漏洞复现
weixin_45530380的博客
08-14 275
【代码】【捷通-CRM|create_site.php处存在SQL注入漏洞复现
用友捷通CRM lead SQL注入漏洞
最新发布
weixin_43167326的博客
08-27 956
用友捷通CRM是面向小企业全力打造的简单、实用的客户关系管理应用。帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为,促进团队销售能力的提升;通过查询和分析,识别企业的价值客户,融合电话、短信、邮件等工具,实现精准营销;帮助企业实现客户智慧经营。
【工具】通达漏洞综合利用工具v1.0
Wulai399的博客
06-06 653
通达漏洞综合利用工具v1.0
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 933
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
用友捷通T+ keyEdit sql注入漏洞
Keepb1ue的博客
05-11 608
捷通 T+ 是一款灵动,智慧,时尚的基于互联网时代开发的管理软件,主要针对中小型工贸与商贸企业,尤其适合有异地多组织机构(多工厂,多仓库,多办事处,多经销商)的企业,涵盖了财务,业务,生产等领域的应用,产品应用功能包括:采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等,融入了社交化、移动化、电子商务、互联网信息订阅等元素,为企业打造全新的生意模式、管理模式、工作模式。
【1day】复现用友捷通CRM create_site.phpSQL注入漏洞
记录并分享学习安全的知识点..
08-08 371
用友CRM是专为小企业量身打造的智慧型客户关系管理应用,它包括客户、商机、报价、团队管理、客户营销、客户服务、主题查询及统计分析,帮助企业管好客户、管好业务员、做好销售业务;系统还提供通知、审批、短信、文档、任务等协作功能,提高销售团队的协作效率,其中 create_site.php接口存在时间盲注漏洞
捷通CRM newleadset.php SQL注入漏洞复现
0xSec
08-26 780
用友CRM newleadset.php 处存在SQL注入漏洞 ,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现捷通T+ keyEdit SQL注入漏洞
alert['Hello World']
06-17 439
捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。捷通T+ keyEdit,aspx 存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。
捷通T+SQL注入漏洞
holyxp的博客
07-27 904
捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
漏洞复现】用友CRM存在SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
05-06 1192
用友捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。用友CRM存在SQL注入漏洞,攻击者可通过使用工具获取数据库相关敏感信息,拿到服务器控制权限。
CRM 存在SQL注入+后台文件上传漏洞
qq_58091216的博客
12-07 1209
CRM是面向小企业全力打造的简单、实用的客户关系管理应用!CRM帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为。CRM系统存在SQL注入和后台文件上传漏洞,攻击者可以通过上传木马执行任意命令,获取服务器管理权限。
0day 未公开 泛微E-Cology 存在源码信息泄露漏洞
weixin_43167326的博客
07-09 1143
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。。
漏洞复现】用友捷通T+ SQL注入漏洞
2301_79099363的博客
07-13 1514
漏洞复现】用友捷通T+ SQL注入漏洞
捷通T+ SQL注入漏洞复现(QVD-2023-13612)
0xSec
06-14 3894
捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
漏洞复现】用友-捷通T+-App_Code-远程命令执行
知黑而守白
01-22 247
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友捷通 T+某模块存在远程命令执行漏洞。攻击者可以通过构造恶意的数据包,成功注入并执行恶意命令,可能导致系统敏感信息泄露、篡改、服务器接管或其他严重后果。
捷通T+ KeyInfoList.aspx SQL漏洞复现
0xSec
04-06 530
由于捷通T+的KeyInfoList.aspx接口处未对用户的输入进行过滤和校验,未经身份验证的攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
复现捷通T-Plus SQL注入漏洞_65
fushuang333的博客
03-17 954
复现捷通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
2022年捷通CRM与客户通解决方案解析
"2022年某软件公司的CRM与客户通概述主要探讨了客户关系管理(CRM)系统在企业管理中的重要性,特别是针对中小企业。客户通作为一款专为中小企业设计的CRM管理软件,旨在解决企业在市场营销、销售和服务环节遇到的问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值