当前位置: 首页 > article >正文

灵当CRM getMyAmbassador SQL注入漏洞复现

灵当CRM getMyAmbassador SQL注入漏洞复现

  • 一、 产品简介
  • 二、漏洞描述
  • 三、 复现环境
  • 四、 漏洞复现
    • 查询当前用户

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、 产品简介

灵当CRM是一款专为中小企业打造的智能客户关系管理工具,由上海灵当信息科技有限公司开发并运营。广泛应用于金融、教育、医疗、T服务、房地产等多个行业领域,帮助企业实现客户个性化管理需求,提升企业竞争力。无论是新客户开拓、老客户维护,还是销售过程管理、服务管理等方面,灵当CRM都能提供全面、高效的解决方案。是一款功能全面、用户友好、支持定制化、数据分析强大且价格合理的CRM软件,是中小型企业实现销售、服务、财务一体化管理的理想选择。

二、漏洞描述

灵当CRM getMyAmbassador 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

三、 复现环境

FOFA body=“crmcommon/js/jquery/jquery-1.10.1.min.js” || (body&#


http://www.kler.cn/a/449736.html

相关文章:

  • 用 gdbserver 调试 arm-linux 上的 AWTK 应用程序
  • 【C++语言】多态
  • jsp | servlet | spring forEach读取不了对象List
  • Android基于Path的addRoundRect,Canvas剪切clipPath简洁的圆角矩形实现,Kotlin(1)
  • 【信号滤波 (上)】傅里叶变换和滤波算法去除ADC采样中的噪声(Matlab/C++)
  • CSPM认证最推荐学习哪个级别?
  • Unity3D VFX事件系统详解
  • 在 Docker 中部署 Jenkins,并完成项目的构建和发布
  • 【C#】List求并集、交集、差集
  • Postman接口测试工具使用详解
  • 中国信通院致信感谢易保全:肯定贡献能力,期许未来合作
  • 【QSS样式表 - ⑥】:QPushButton控件样式
  • nginx采用域名访问后台接口时报400
  • git管理
  • Canoe E2E校验自定义Checksum算法
  • sed正则表达式元字符 和使用示例 sed变量替换示例
  • python3.6搭建pytorch环境
  • MySQL体系架构
  • Retrofit源码分析:动态代理获取Api接口实例,解析注解生成request,线程切换
  • 经济学 ppt 2 部分
  • javax.net.ssl.SSLPeerUnverifiedException: Hostname 192.168.13.13 not verified:
  • 面试题整理14----kube-proxy有什么作用
  • npm安装electron依赖时卡顿,下载不下来
  • Hadoop集群(HDFS集群、YARN集群、MapReduce​计算框架)
  • c++------------------函数
  • SQLMAP