CVE-2022-32991

已于 2022-12-11 12:29:39 修改
阅读量3k 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: php 安全 web安全
于 2022-10-11 13:36:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63928796/article/details/127257356
版权

该CMS的welcome.php中存在SQL注入攻击。

用Seay源码审计一下

 发现可能存在sql注入漏洞,进而查看一下源码,mysqli_query没有任何的过滤

进去漏洞页面后正常注册登录,发现了p参数和welcome.php界面 

点击ip抓包

保存成1.txt用sqlmap梭一下 

python sqlmap.py -r 1.txt --dbs --batch --random-agent -p eid

成功注入 

Msaerati
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
春秋云境:CVE-2022-32991
一只爱吃橙子的羊
11-29 842
Web Based Quiz System SQL注入漏洞:CVE-2022-32991
【春秋云境】CVE-2022-32991
ZXW_NUDT的博客
02-22 2494
【春秋云境】CVE-2022-32991
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
CVE-2022-0847
04-03
https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2022-22965 GUItools单个图形化利用工具
04-06
CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。
Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升漏洞 和 CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p...
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
CVE-2022-32991 漏洞复现
网安小菜鸡
01-17 1175
CVE-2022-32991 漏洞复现
春秋云镜.com 免费空间系列(1) CVE-2022-32991
最新发布
陈学卫的博客
07-27 297
今天看到一个很好的在线靶场平台地址春秋云镜.com,里边有很多的免费的cve漏洞,从今天起,将更新一个春秋云镜免费空间系列,一个一个攻克cve的漏洞自此,迈出了攻防小白的第一步。这个主要考用户的sqlmap的一些命令和用法,熟练掌握sqlmap是我们成长的第一步。
CVE-2022-32991 Web Based Quiz System SQL注入
qq_38733240的博客
11-19 631
在Web Based Quiz System 1.0中曾发现一漏洞,此漏洞被分类为致命。受影响的是未知功能文件:welcome.php。手动调试的软件参数:eid不合法输入可导致 SQL注入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值