【大量存在】用友U8C ajaxgetborrowdata存在SQL注入漏洞

xiachuchunmo 银遁安全团队 2024-11-27 22:01

需要EDU SRC邀请码的师傅可以私聊后台，免费赠送EDU SRC邀请码（邀请码管够）

漏洞简介

**用友crm客户关系管理的第一需求就是对客户信息的集中管理和共享利用，即客户资源的企业化管理，避免因业务调整或人员变动造成的客户资源流失和客户管理盲区的产生；更重要是可以通过完善的客户信息来支持不同业务角色面向客户的工作，实现客户信息在企业内部充分共享利用，提高面向客户的工作有效性和效率，从而全面提升客户的满意度。用友U8-CRM ajaxgetborrowdata存在SQL注入漏洞

资产测绘

title="用友U8CRM"

漏洞复现

延时注入测试

SQLMap测试

获取当前数据库名测试

命令执行测试

Nuclei测试

圈子介绍

高
质量漏洞利用工具分享社区，每天至少更新一个0Day/Nday/1day及对应漏洞的批量利用工具，团队内部POC分享，星球不定时更新内外网攻防渗透技巧以及最新学习研究成果等。
如果师傅还是新手，内部的交流群有很多行业老师傅可以为你解答学习上的疑惑，内部分享的POC可以助你在Edu和补天等平台获得一定的排名。
如果师傅已经
是老手了，有一个高质量的LD库也能为你的工作提高极大的效率，实战或者攻防中有需要的Day我们也可以通过自己的途径帮你去寻找。

【圈子服务】

1，一年至少365+漏洞Poc及对应漏洞批量利用工具

2，Fofa永久高级会员

3，24HVV内推途径

4，Cmd5解密，各种漏洞利用工具及后续更新，渗透工具、文档资源分享

5，内部漏洞
库情报分享
（目前已有2000+
poc，会定期更新，包括部分未公开0/1day）

6，加入内部微信群，认识更多的行业朋友（群里有100+C**D通用证书师傅），遇到任何技术问题都可以进行快速提问、讨论交流；

圈子目前价格为129元
(交个朋友啦！)
，现在星球有近900+位师傅相信并选择加入我们，人数满1000
涨价至149，圈子每天都会更新内容。

圈子近期更新LD库

每篇文章均有详细且完整的手工WriteUp（跟其他只有POC，没有验证截图的不一样）

星球提供免费Fa
CD通用证书**一起愉快的刷分

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。