用友U8CRM biztype.php sql注入漏洞

admin 2025年3月30日19:39:34评论1 views字数 870阅读2分54秒阅读模式
用友U8CRM biztype.php sql注入漏洞
用友U8CRM biztype.php sql注入漏洞
用友U8CRM biztype.php sql注入漏洞

内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担!

00
产品简介
用友U8CRM是用友软件推出的一款面向中小企业的客户关系管理(CRM)系统,旨在帮助企业实现客户资源的有效管理和销售流程的优化。它集成了客户管理、销售管理、市场营销、服务管理等功能模块,支持企业从线索获取、商机跟进到合同签订的全流程管理。通过数据分析和业务流程自动化,U8CRM能够提升销售团队的工作效率,增强客户满意度,助力企业实现精准营销和业绩增长。其灵活的系统架构和与用友U8+ ERP的无缝集成,使其成为中小企业数字化转型的理想选择。

01
漏洞概述

用友 U8 CRM客户关系管理系统 biztype.php 接口存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

02
搜索引擎
FOFA:
title="用友U8CRM"
用友U8CRM biztype.php sql注入漏洞
03
漏洞复现
延时8秒
用友U8CRM biztype.php sql注入漏洞
sqlmap验证
用友U8CRM biztype.php sql注入漏洞
04
自查工具

nuclei

用友U8CRM biztype.php sql注入漏洞

afrog

用友U8CRM biztype.php sql注入漏洞

xray

用友U8CRM biztype.php sql注入漏洞
05
修复建议

1、关闭互联网暴露面或接口设置访问权限

2、下载官方补丁进行修复

06
内部圈子介绍

【Nday漏洞实战圈】🛠️ 

专注公开1day/Nday漏洞复现 · 工具链适配支持

 ✧━━━━━━━━━━━━━━━━✧ 

🔍 资源内容

 ▫️ 整合全网公开Nday漏洞POC详情

 ▫️ 适配Xray/Afrog/Nuclei检测脚本

 ▫️ 支持内置与自定义POC目录混合扫描 

🔄 更新计划 

▫️ 每周新增7-10个实用POC(来源公开平台) 

▫️ 所有脚本经过基础测试,降低调试成本 

🎯 适用场景 

▫️ 企业漏洞自查 ▫️ 渗透测试 ▫️ 红蓝对抗 ▫️ 安全运维

✧━━━━━━━━━━━━━━━━✧ 

⚠️ 声明:仅限合法授权测试,严禁违规使用!

用友U8CRM biztype.php sql注入漏洞

原文始发于微信公众号(Nday Poc):用友U8CRM biztype.php sql注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月30日19:39:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用友U8CRM biztype.php sql注入漏洞https://cn-sec.com/archives/3899234.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息