灵当crm multipleupload 任意文件上传

 0x01 阅读须知

        技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02 产品概述

        灵当CRM是上海灵当信息科技有限公司开发的一款CRM软件，适用于以销售和服务业务为主的中小型企业。产品功能集销售管理、机会管理、渠道管理、售后服务管理、热线管理、合同管理、收付款管理、库存管理、人事管理、绩效与奖金管理、报表中心、呼叫中心管理于一体，帮助中小型企业实现销售、服务、财务一体化管理。

0x03 漏洞描述

        ‌‌任意文件上传是一种网络安全漏洞‌，它允许攻击者上传任意类型的文件到服务器，这包括恶意文件如‌Webshell，从而执行任意命令、窃取数据或发起进一步攻击。这种漏洞通常发生在应用程序对用户上传的文件处理不当，未能正确验证文件类型、内容或路径时。攻击者可以利用这种漏洞上传恶意文件，进而控制整个系统。

fofa

body="crmcommon/js/jquery/jquery-1.10.1.min.js"

0x04 POC利用(POC在内部星球，点击下方地址加入星球获取POC)

👉地址1 >>>点击直接加入星球获取更多未公开漏洞POC

👉此地2 >>>点击全面了解星球内部VIP介绍获取更多0/1day漏洞POC-末尾加入星球

需要加入内部知识星球可点击上方链接，资源包含但不限于网上未公开的1day/0day漏洞2024 更新漏洞POC共950+2024最新SRC/CNVD/Edu实战挖掘技巧报告，红队内网横向渗透，代码审计，JS逆向，SRC培训等课程。圈子对新人友好，加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安 Hunter Ctfshow等等高级会员账号，SRC文档，武器库。圈子里面资料价值至少在10K以上，目前星球内部主题600+，资源2000+，其他和网盘资源1w+并持续更新中!!

内部VIP专属0day速查漏洞库-每日更新汇集全网0/1day POC

​​​​​

2024更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至950+需要的加入星球获取

​​​

一些漏洞报告200+(仅列举部分)加入星球获取更多资源及视频资源持续更新中！

​

​

        需要加入内部知识星球可点击上方链接，资源包含但不限于网上未公开的day漏洞（更新漏洞POC共500+），2024最新企业SRC/CNVD/Edu实战挖掘技巧报告，红队内网横向渗透，代码审计，JS逆向，SRC培训等课程。圈子对新人友好，加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安Hunter等等高级会员账号，SRC文档，武器库。圈子里面资料价值至少在10K以上，目前星球内部主题500+，资源2000+，其他和网盘资源1w+并持续更新中，越早加入价格越低。