CVE-2022-32991

该CMS的welcome.php中存在SQL注入攻击。

用Seay源码审计一下

CVE-2022-32991_第1张图片

 发现可能存在sql注入漏洞,进而查看一下源码,mysqli_query没有任何的过滤

CVE-2022-32991_第2张图片

进去漏洞页面后正常注册登录,发现了p参数和welcome.php界面 

CVE-2022-32991_第3张图片

点击ip抓包

CVE-2022-32991_第4张图片

保存成1.txt用sqlmap梭一下 

python sqlmap.py -r 1.txt --dbs --batch --random-agent -p eid

CVE-2022-32991_第5张图片

成功注入 

你可能感兴趣的:(漏洞复现,php,安全,web安全)