本文详细介绍了如何复现Django中的CVE-2022-34265漏洞,该漏洞涉及Trunc和Extract函数的潜在SQL注入问题。首先,通过在Kali Linux中搭建vulhub靶场环境,使用docker-compose启动漏洞环境。接着,展示了如何通过修改URL参数触发漏洞,如将`date`设为`minute`或不正确的时间单位。最后,讨论了安全更新和修复措施,即升级到最新版本。
vulhub靶场------CVE-2022-34265漏洞复现
1.启动CVE-2022-34265漏洞环境
1.在kali中打开环境,通过sudo -i进入root权限下。然后我们可以ls。查看目录下有vulhub字样
2.cd vulhub然后可以看到vulhub目录,看到django,然后cd这个目录,进而可以看见
选择名为CVE-2022-34265漏洞文件夹(cd进入),然后输入docker-compose up -d,运行加载漏洞环境,这个过程不用着急,自动可以安装好的。
如图所示,即漏洞环境安装成功,我们可以通过
docker-compose ps 查看环境所在端口是多少(如下图是本人环境所在端口:8000)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
