CVE-2022-28512

靶标介绍:

Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
参考文章:春秋云镜:CVE-2022-28512(SQL注入)_python sqlmap.py -l-CSDN博客
Pasted image 20240511230236

题解

  • 提示sql注入。该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
  • 访问目录发现报错Pasted image 20240511230659
  • 加上?id=1却不报错Pasted image 20240511231126
  • 发现要闭合才行。后面加' 或者 %27
  • Pasted image 20240511231155
  • 抓个包跑sqlmap
  • python sqlmap.py -l url.txt --dbs