春秋云境系列靶场记录
春秋云境系列靶场记录合集,不更新了哈~~~
2023/1/17日记
感谢各位朋友的关注,2022年11月到12月,利用空闲时间做了春秋云镜的靶场,因为穷,所以也只能做免费的(当然还有个原因就是我太菜,不会做专业的),总结一下春秋云境靶场吧,截止到目前,我做了41个免费的靶场
我的这个合集里面只更新了25个,后续如果还有空时间的话我尽量将我已经做完的靶场WP更新一下,全都在语雀里,
但是懒得再誊写到CSDN了,做这个靶场的时候感觉还是挺有意思的,比我们本地搭建Vulhub或Vulfocus方便很多,也比大多数在线的靶场相对稳定点,但是这其中还是有个靶场差点给我做吐,具体哪个我忘了,效果就是点一下是不行的,需要出错再点一下才有响应,不过也算是做下去了。
还有就是春秋云境的免费靶场中是有很多2022的CVE的,这其中很多在网上是很难直接找到POC的,我感觉这种做的挺不错的,当然有很多我做不出来,个人感觉哈,经常是找到POC直接利用,这样让我们缺乏了很多的思考,这个漏洞为什么存在,如果换个形式是不是我就不会做了,诸如此类,但是经过春秋云境里的部分靶场就让我们得加上思考,因为没有现成的POC可利用,必须明白这个漏洞为什么存在,以上仅是个人感觉,当然这里面还是有很多靶场都是直接网上找POC直接利用就行,可能会员专享的有更多的吧。
总之感觉这个春秋云境还是不错的,作为一个安全小白,还是得好好学习天天向上,不能只当脚本小子,春秋云境的靶场就告一段落吧,后续我会慢慢把这些靶场公开,不用再关注我也能看到WP。
当时确实为了增加关注,才设置的,之后慢慢放开,2023年想好好学习,也想好好运营下公众号,如果你也和我一样是个小白,不妨关注一波,争取早日成长,成为大佬不敢奢望,还是要有点真材实料哈。
加油,新年快乐!
必看
文章中的所有内容仅供做靶场学习使用,任何人用此方法进行未经授权的渗透行为都与文章与我本人无关,请各位大佬不要进行未经授权的渗透行为……
漏洞介绍
CVE-2022-32991:该CMS的welcome.php中存在SQL注入攻击。
漏洞介绍
CVE-2022-30887:多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的,
该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。
该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
漏洞介绍
CVE-2022-29464:WSO2文件上传漏洞(CVE-2022-29464)是Orange
Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。
漏洞介绍
CVE-2022-28525:ED01-CMS v20180505 存在任意文件上传漏洞
漏洞介绍
CVE-2022-28512:Fantastic Blog
(CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。
该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
漏洞介绍
CVE-2022-28060:Victor CMS v1.0 /includes/login.php 存在sql注入
漏洞介绍
CVE-2022-26965:Pluck-CMS-Pluck-4.7.16 后台RCE
漏洞介绍
CVE-2022-26201:Victor CMS v1.0 存在二次注入漏洞
漏洞介绍
CVE-2022-25578:taocms v3.0.2允许攻击者通过编辑.htaccess文件执行任意代码
漏洞介绍
CVE-2022-25488:Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面
漏洞介绍
CVE-2022-25411:MaxSite CMS是俄国MaxSite
CMS开源项目的一款网站内容管理系统。马克斯程序(MaxCMS)以开源、免费、功能强大、安全健壮、性能卓越、超级易用、模板众多、插件齐全等优势,受到众多企业和站长的喜爱。马克斯程序研发团队拥有多年的技术积累和产品开发经验,成立了官方技术支持团队、官方模板团队、官方插件团队。一切立足于站长利益、孜孜不倦的挖掘站长需求、不断提升产品体验,自主创新多项特色技术、提升网站品质!独立开发的管理员管理系统,可以对管理员进行更能人性化的管理网站。
Maxsite CMS存在文件上传漏洞,攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。
漏洞介绍
CVE-2022-25401:Cuppa CMS v1.0
administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞
漏洞介绍
CVE-2022-25099:WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE
漏洞介绍
CVE-2022-24663:WordPress插件PHP Everywhere,远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为
PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。
漏洞介绍
CVE-2022-24263:Hospital Management System sqli:CVE-2022-24263
漏洞介绍
CVE-2022-24223:AtomCMS SQL注入漏洞
漏洞介绍
CVE-2022-24124:Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,带有支持 OAuth 2.0 /
OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞,该漏洞允许攻击者通过api/get-
organizations进行攻击。
漏洞介绍
CVE-2022-24112:Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty
和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache
APISIX中存在远程代码执行漏洞,该漏洞源于产品的batch-requests插件未对用户的批处理请求进行有效限制。攻击者可通过该漏洞绕过Admin
API的IP限制,容易导致远程代码执行。
漏洞介绍
CMS Made Simple v2.2.15 被发现包含通过上传图片功能的远程命令执行 (RCE) 漏洞。此漏洞通过精心制作的图像文件被利用。
漏洞介绍
taoCMS v3.0.2 文件管理处存在任意文件上传漏洞,攻击者可执行任意代码
漏洞介绍
Hospital Management Startup 1.0 sqli
漏洞介绍
taoCMS v3.0.2 存在任意文件读取漏洞
漏洞介绍
Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix
Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix
存在安全漏洞,该漏洞源于在初始设置过程之后,setup.php 文件的某些步骤不仅可以由超级管理员访问,也可以由未经身份验证的用户访问。
漏洞介绍
Zenario CMS 9.2 文件上传漏洞,攻击者可上传webshell执行任意命令。登陆信息:admin/adminqwe12
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web渗透(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资源分享
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web渗透(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资源分享
扫一扫
1090
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
