[春秋云境] CVE-2022-32991

不想学密码的程序员不是好的攻城狮2023-09-23 14:14

CVE-2022-32991

靶标介绍

该CMS的welcome.php中存在SQL注入攻击。

解题过程

进入主界面,没有明显可以注入的地方,先注册登录。

登录之后的界面
此处有个?q=1但是多次测试后,感觉不是注入点。
点击这个按钮,进入新的界面。
多次测试发现注入点

sqlmap梭哈

复制代码 
sqlmap -u "http://eci-2zeb8alt7sk432zz6n7j.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e*&n=1&t=10" --dbs

sqlmap指定参数进行注入

相关推荐
Swizard37 分钟前
别再让你的 Python 傻等了:三分钟带你通过 asyncio 实现性能起飞
python
Darkershadow2 小时前
python学习之串口通信
python·学习
3824278273 小时前
python:输出JSON
前端·python·json
也许是_4 小时前
大模型应用技术之 详解 MCP 原理
人工智能·python
沙漠豪4 小时前
提取PDF发票信息的Python脚本
开发语言·python·pdf
F_D_Z5 小时前
【Python】家庭用电数据的时序分析
python·数据分析·时序分析·序列分解
a程序小傲6 小时前
蚂蚁Java面试被问:注解的工作原理及如何自定义注解
java·开发语言·python·面试
love530love6 小时前
【笔记】ComfyUI “OSError: [WinError 38] 已到文件结尾” 报错解决方案
人工智能·windows·python·aigc·comfyui·winerror 38
lcreek6 小时前
LeetCode215. 数组中的第K个最大元素、LeetCode912. 排序数组
python·算法·leetcode
热门推荐
01从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击02GitHub 镜像站点033D 圣诞树网页代码04Linux下V2Ray安装配置指南05UV安装并设置国内源06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07电脑检测软件—图吧工具箱08Gemini3 生成的基于手势控制3D粒子圣诞树09jdk21下载、安装(Windows、Linux、macOS)10解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题