【漏洞复现】用友畅捷CRM存在SQL注入漏洞

最新推荐文章于 2024-08-29 10:16:49 发布
最新推荐文章于 2024-08-29 10:16:49 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 漏洞复现 文章标签: 用友畅捷CRM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/130519930
版权

文章目录

前言

用友畅捷CRM存在SQL注入漏洞,攻击者可通过使用工具获取数据库相关敏感信息,拿到服务器控制权限。

声明

本篇文章仅用于漏洞复现与技术研究,请勿利用文章内的相关技术从事非法测试,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

一、畅姐CRM简介

用友畅捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。

二、漏洞描述

畅捷CRM系统 存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。

三、漏洞复现

FOFA:title

了解本专栏 订阅专栏 解锁全文 超级会员免费看
通T+SQL注入漏洞
holyxp的博客
07-27 1046
通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
通T+ SQL注入漏洞复现(QVD-2023-13612)
0xSec
06-14 4182
通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
漏洞复现用友通T+ SQL注入漏洞
2301_79099363的博客
07-13 1720
漏洞复现用友通T+ SQL注入漏洞
用友通T+ keyEdit sql注入漏洞
Keepb1ue的博客
05-11 894
通 T+ 是一款灵动,智慧,时尚的基于互联网时代开发的管理软件,主要针对中小型工贸与商贸企业,尤其适合有异地多组织机构(多工厂,多仓库,多办事处,多经销商)的企业,涵盖了财务,业务,生产等领域的应用,产品应用功能包括:采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等,融入了社交化、移动化、电子商务、互联网信息订阅等元素,为企业打造全新的生意模式、管理模式、工作模式。
(附nuclei 批量验证文件)用友 通T+ MultiCompanyController SQL注入漏洞
nglj9527的博客
05-29 544
用友 通T+ MultiCompanyController 存在SQL注入漏洞,执行sql语句,获取数据库信息。
用友CRM存在SQL注入漏洞
nnn2188185的博客
04-21 672
CRM系统存在SQL注入漏洞,攻击者可以利用该漏洞获得网站后台数据库信息,构成信息泄露风险。
CRM SQL注入漏洞复现
0xSec
06-13 1943
用友CRMcreate_site.php处存在SQL时间盲注,攻击者可以利用该漏洞获取网站后台数据库敏感信息,进一步利用可接管服务器权限。
漏洞复现用友CRM get_usedspace存在SQL注入漏洞
qq_34780861的博客
04-11 524
CRM系统get_usedspace存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。
CRM系统 newleadset.php SQL注入
最新发布
iSee857的博客
08-29 308
用友CRM newleadset.php 处存在SQL注入漏洞 ,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。Fofa:app="通-CRM"关闭互联网暴露面或接口设置访问权限。
复现通T-Plus SQL注入漏洞_65
fushuang333的博客
03-17 1255
复现通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
CRM 存在SQL注入+后台文件上传漏洞
qq_58091216的博客
12-07 1262
CRM是面向小企业全力打造的简单、实用的客户关系管理应用!CRM帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为。CRM系统存在SQL注入和后台文件上传漏洞,攻击者可以通过上传木马执行任意命令,获取服务器管理权限。
用友-通T+-InitServerInfo-SQL注入
weixin_43567873的博客
03-13 162
用友-通T+-InitServerInfo-SQL注入
sql注入用友不能建账
weixin_30824599的博客
01-13 97
最近倒霉啊,估计sql的sa密码太简单,被注入了代码,结果用友想建立一套帐也建不了了。建账的时候出现“神马都。。。无法装载dll原因126。。。”之类的,一看就知道被黑了。 网上找到一篇文章,看上去有用http://blog.csdn.net/dxw122/article/details/6266104 下面是跟着他做,先检查xp_cm...
用友GRP:XVE-2024[SQL注入]
h1008685的博客
08-14 365
XVE-2024[SQL注入]漏洞点,sql注入语法,使用sqlmap脱库
Doliber ERP & CRM漏洞复现报告
weixin_62570809的博客
11-02 1634
Doliber ERP & CRM漏洞复现
用友SQL注入/XXE/NC控制台绕过漏洞危害描述以及修复建议(只是文字)
为了低调的博客
08-18 574
用友U8 Cloud MeasureQueryFrameAction SQL注入漏洞。yongyou-U8-Cloud-smartweb2-xxe 用友NC控制台密码绕过漏洞存在
用友php漏洞,用友CRM注入漏洞(无需登录通杀所有版本)
weixin_34977368的博客
04-10 1309
用友TurboCRM存在通用sql注入。http://**.**.**.**:8081/login/login.php如下图找到找回密码页访问http://**.**.**.**:8081/login/changepswd.php?orgcode=1&loginname=system输入信息抓包POST /login/changepswd.php?orgcode=1&loginna...
漏洞复现用友-NC-Cloud-runScript-sql注入
qq_34780861的博客
03-21 1004
用友-nc-cloud runscript sql注入,黑客可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值