【漏洞复现】用友畅捷CRM存在SQL注入漏洞

---

前言

用友畅捷CRM存在SQL注入漏洞，攻击者可通过使用工具获取数据库相关敏感信息，拿到服务器控制权限。

---

声明

本篇文章仅用于漏洞复现与技术研究，请勿利用文章内的相关技术从事非法测试，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！

---

一、畅姐CRM简介

用友畅捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业，以客户为中心，以客户营销为目的，帮助他们 " 提升营销能力，网罗天下商机"。

---

二、漏洞描述

畅捷CRM系统 存在SQL注入漏洞 ，攻击者可以利用该漏洞获取网站后台数据库敏感信息，甚至接管服务器权限，构成严重风险。

---

三、漏洞复现

FOFA：title