靶场介绍
S-CMS v5.0 被发现存在SQLI。
开启靶场
后台地址 /admin
http://eci-2ze09fp13xasgff8owrf.cloudeci1.ichunqiu.com/admin/#/app/index
可以使用用户名密码登录
用户名 admin
密码 admin123
poc
寻找漏洞位置
在poc的平台上搜索不到直接poc,只看到了这个
https://nvd.nist.gov/vuln/detail/CVE-2023-51048
这里有漏洞的利用方式,但是需要注册
然后再github上搜索,发现了这么一句话
发现网站有一个可以查看文件,就在文件中搜索这个参数
往上看一下,发现是有提到管理员的信息
猜测可能在新增管理员处可以传这个参数,找到这个位置,挨个点击,然后搜索发送的数据包,在新增管理员和修改管理员时候发现传输了这个参数
我们选择修改管理员的数据包进行SQL注入。
在时间盲注时候很久才有反应,就知道稳了
的确是存在漏洞的
Payload
Payload: A_login=123&A_pwd=&A_email=1@1.qq.com&A_type=0&A_newsauth[]=107’ AND (SELECT 9111 FROM (SELECT(SLEEP(5)))QnHs) AND ‘bEVC’='bEVC
获取flag
直接sql查询
经验详谈
直接搜索哪里有flag
SELECT TABLE_SCHEMA, TABLE_NAME, COLUMN_NAME FROM information_schema.COLUMNS WHERE COLUMN_NAME = 'flag' limit 2,1 #因为这个靶场有些熟悉一般都是这个位置
总结
这个是找了好久,一直没有找到可利用的POC,最后发现只有一句话介绍漏洞,发现了所说的参数和文件位置,只能找这个参数的位置,费了老大劲才找到这些(尝试过文件上传,数据库备份,还异想天开想要代码审计再找一个其他漏洞出来),其实看了看这个文档几分钟就能找到,但是我却找了3个小时。
其他参数也存在sql注入,可以的自己试试吧
纸上得来终觉浅,绝知此事要鞠行
参考文档
1、https://github.com/CVEProject/cvelistV5/commit/4d1b291283a4c5cb65be29b43772041f9f854559#diff-60520109fdb257334efd6bfa0f2d35f8e4fa8112b9141844d0fb0eab55efde61
2、https://github.com/advisories/GHSA-3mg4-6264-fvx2
既然对你有用,那就别取关了,我攒个关注量,感谢感谢