0x01 产品简介
任我行协同CRM普及版是由成都市任我行信息技术有限公司开发的一款客户关系管理软件。该软件旨在帮助中小企业简化管理流程,提升客户管理能力,以及优化销售业绩。集成了CRM、OA、HR等多项功能于一体,为企业提供了一个全面的管理平台。该软件通过高度集成的解决方案,帮助企业实现客户信息的集中管理、销售流程的自动化跟踪以及服务质量的持续提升。同时,它支持多种定制化需求,企业可以根据自身的业务特点进行个性化设置,从而更好地满足各种具体需求。
0x02 漏洞概述
任我行协同CRM普及版 CommonDict/Edit 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x03 复现环境
FOFA:app="任我行-CRM"
0x04 漏洞复现
PoC
POST /crm/api/OpenApi/CommonDict/Edit?accesstoken=1&accessk
