悟空 mobile.php,悟空CRM无需任何权限的SQL注入漏洞2(ThinkPHP特性)

最新推荐文章于 2021-09-06 19:49:21 发布
最新推荐文章于 2021-09-06 19:49:21 发布
阅读量864 收藏
点赞数
文章标签: 悟空 mobile.php

### 简要描述:

一个没有权限控制的类,正好又有注入~

(给L.N.添堵系列之三)

另外厂商分给高点呗,别这么小气~本来不想挖了的。

### 详细说明:

/App/Lib/Mobile/LogMobile.class.php

这个类没有权限验证(_initialize方法)哦~

看到edit函数:

```

//修改沟通日志

public function edit(){

if($this->isPost()){

$id = isset($_POST['id']) ? intval($_POST['id']) : 0;

$params = json_decode($_POST['params'],true);

if(!is_array($params)){

$this->ajaxReturn('非法的数据格式!','非法的数据格式!',2);

}

if(!$id){

$this->ajaxReturn('参数错误','参数错误',2);

}

$log = M('Log');

$log -> create($params);

$log -> update_date = time();

$result = $log->save();

if($result){

$this->ajaxR

最低0.47元/天 解锁文章
weixin_39876514
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java代码审计——JEESNS漏洞&悟空CRM漏洞&访问控制
m0_61506558的博客
12-25 1337
可以看到它把关键字alert前面加上了_,导致js代码无法执行,我们在idea里面找路由。这里突破口是用prompt(/xss/)进行过滤。修改 POST请求内容,Content-Type更改为json格式,send一下。找对应,触发过滤器的代码,filter找到了class文件。(一)JEESNS漏洞&黑名单。翻了半天没找到,然后再找。(二)悟空CRM&组件安全。
代码审计-java项目-组件漏洞审计
xiaoheizi的博客
08-16 588
2.下载悟空CRM9.0源码:https://github.com/72wukong/72crm-9.0-JAVA。配合dnslog测试是否成功执行命令——传递的json数据:{"@type":"java.net.Inet4Address","val":"dnslog地址"}4.搜索fastjson组件产生过的历史漏洞,找到对应版本的漏洞,查看漏洞利用信息。-追踪过滤或接收的数据函数,寻找触发此函数或代码的地方进行触发测试。审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞
悟空CRM系统项目实测
hu19980705的博客
09-06 553
今天上午是老师带我们熟悉悟空CRM系统的过程,显示我们分别进行讲解,然后老师对我们的讲解进行了补充,并且让我们对其中的功能进行操作。然后老师给我们讲解了测试计划和测试策略,让我们熟悉了测试计划的目的和内容,同时如何去制定测试策略和测试方法。 下午的话,我们就正式开始了悟空CRM系统的测试计划的编写,由组长给我们分配任务,我自己是编写第二部分和第五部分,刚开始时,完全没有头绪,无奈之下只能从网上搜索相关的测试计划,来看一下别人是怎么编写测试计划的,经过对比并结合悟空CRM系统项目,我大概也了解了怎么去编写这
悟空CRM客户关系管理系统
weixin_61175678的博客
09-04 737
今日总结:上午是复习了一下昨天的SQL数据库的select查询命令,进行了深入理解。然后下午是了解项目操作,目前熟悉悟空CRM客户关系管理系统的各个模块功能,清楚CRM系统里的业务需求 今天上午熟悉了一下悟空CRM系统的各种功能模块,前端有四大功能模块如:办公,客户管理,商业智能,项目管理四大模块,后台设置模块, 今天用xmind分析了企业管理后台这个大模块,更加熟悉了后台模块对于前端首页的相关连接设置功能,企业后台管理模块主要分为系统设置,员工与部门管理,角色权限管理,审批流程管理,工作台,项目管理,客户
开源悟空CRM安装问题解决
chigechou1703的博客
11-15 1089
首先安装好运行环境 下载地址http://pan.baidu.com/s/1pLIsg1X 安装好之后运行都是绿色显示是正常 选则悟空CRM开源软件如没在官网下载 可以点击链接进行下载 http://pan.baidu.com/s/1pLew5Az 选则悟空CRM安装包进...
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
PHP悟空CRM PHP版 v11.0
10-21
悟空CRM PHP版是一款基于TP5.0+vue+ElementUI的前后端分离CRM系统。 悟空软件长期为企业提供企业管理软件(CRM/HRM/OA/ERP等)的研发、实施、营销、咨询、培训、服务于一体的信息化服务。悟空软件以高科技为起点,以...
悟空thinkphp客户管理销售管理crm系统
07-13
悟空ThinkPHP客户管理销售管理CRM系统是一款基于ThinkPHP框架开发的企业级客户关系管理系统,旨在提升企业销售效率和客户管理能力。此系统是个人开源的,意味着开发者将源代码公开,允许用户根据需要进行定制和二次...
悟空CRM通用企业客户关系管理系统源码Thinkphp内核.txt
最新发布
03-10
悟空CRM通用企业客户关系管理系统源码Thinkphp内核
CRM资源管理器V2.7版
05-28
CRM2011资源管理器2.7版本新增代码笔记管理功能和实用小工具功能修改了一个Ribbon工具的Bug。 目前工具具备的功能有: 1、实体的快速查询(支持中文和实体代码)模糊查询功能,编辑实体窗体; 2、实体属性的快速查询(支持中文和实体代码)模糊查询功能,选择属性单元格,按Ctrl+C是可以复制的,编辑属性功能; 3、Web资源的快速查询(支持中文和英文)模糊查询功能,并能编辑和发布Web资源; 4、角色对实体权限的批量设置,实体对角色的批量设置,权限文件的导出可导入功能,并能修改权限文件具体设置某一实体或角色具体的权限,并能导入系统中; 5、支持不同服务器角色权限设置的比较功能; 6、中文Ribbon工具编辑功能; 7、站点地图编辑功能,实现运行时效果可视化编辑功能; 8、支持解决方案的导出功能 9、系统数据管理功能,支持用户安全角色,业务部门的设置,设置方式可以按业务部门方式,安全角色方式,和具体用户方式,方便系统初用始化用户的设置和查看。 实体数据管理功能,可以编辑实体具体数据,并能设置显示的列和显示顺序,方便进行系统数据的维护。 10、新增代码笔记管理功能,了添加一些常用代码、技术文章方便查询使用,并增加导入导出功能可以和别人共享自己的代码笔记。
悟空crm v0.5.4
08-09
悟空crm v0.5.4版本(该版本有漏洞,网上有文章,喜欢代码审计的小伙伴可以玩一玩~)
悟空CRM安装出现Fatal error Allowed memory size of 8388608 bytes的解决办法
09-28
主要为大家介绍了悟空CRM安装出现Fatal error Allowed memory size of 8388608 bytes的解决办法,需要的朋友可以参考下
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意文件删除+RCE+任意文件上传+SQL注入)1
08-03
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意件删除+RCE+任意件上传+SQL注)这选择从数据库名称 $dbname 下, 服务器连接地址, 数据
crm开源分享
12-03
crm开源分享
PHP7使用ODBC连接SQL Server2008 R2数据库示例【基于thinkPHP5.1框架】
10-17
主要介绍了PHP7使用ODBC连接SQL Server2008 R2数据库,结合实例形式分析了基于thinkPHP5.1框架使用ODBC连接SQL Server2008数据库相关操作技巧,需要的朋友可以参考下
悟空CRM开源版本重置
qq_36727899的博客
11-16 3920
http://localhost/phpMyAdmin/ 数据库 crm密码修改方法: 访问数据库 找到5kcrm_user表(5kcrm可以随便设置) 通过name 找到对应用户 修改password的值为 8037b285e01582f75ca1b5a5839b3a6f 修改salt的值为  931a  密码会置为 admin
悟空CRM(9.0版本)V9.0_20190407 更新日志
weixin_34192816的博客
04-07 662
百度智能云 云生态狂欢季 热门云产品1折起>>> 悟空CRM9.0 主要技术栈 后端框架:Th...
关于悟空CRM部署经历--钟艳明
钟艳明博客
08-09 1751
https://gitee.com/wukongcrm/72crm-java 1 软件就不用说了,自己去官方网下载 node-v14.17.3-x64.msi 2 安装,我的目录是D:\nodejs 3 配置环境path 添加D:\nodejs 4 新建缓存文件夹 npm config set prefix "D:\nodejs\node_global" npm config set cache "D:\nodejs\node_cache" 5 新建系统变量NODE_PATH,变量值为 ...
ThinkPHP-4-权限管理
07-08
c) 实现原理:基于用户-角色-权限之间的关系建立的一套权限控制机制,通过用户与角色之间的关联,以及角色与权限之间的关联,从而实现对用户的权限控制2.代码演示<?php namespace Admin\Controller; use Think\Auth;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值