漏洞复现-禅道前台注入
2023-02-18 16:42:20 时间
漏洞编号
CNVD-2022-42853
影响产品
禅道企业版 6.5
禅道旗舰版 3.0
禅道开源版 16.5
禅道开源版 16.5.beta1
复现过程
搭建禅道环境,点击start
运行
访问地址,登录进行抓包
POST /zentao/user-login.html HTTP/1.1
Host: 192.168.121.133:82
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.121.133:82/zentao/user-login-L3plbnRhby8=.html
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 136
Origin: http://192.168.121.133:82
DNT: 1
Authorization: Basic emVudGFvOmRCRWRQVUl4VGlu
Connection: close
Cookie: zentaosid=b9b1928181cf6feba9c9ec5781c64b54; lang=zh-cn; device=desktop; theme=default; windowWidth=1664; windowHeight=810; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=f88b39d5; PHPSESSID=qii4d2oujq7jc6rhecjlq6fga1; KEY_RANDOMDATA=19059
account=admin&password=d946e9f1a52f641d4ce78ad58da857af&passwordStrength=0&referer=%2Fzentao%2F&verifyRand=57784117&keepLogin=0&captcha=
把数据包放到sqlmap
中进行利用
相关文章
- LeetCode 212. 单词搜索 II -- 字典树+dfs
- 智能催收系统中自然语言理解模块设计
- 【网页设计】期末大作业:化妆品主题——绿色大气的html5响应式化妆品护肤品肌肤网页设计(11页)
- sed学习与实践1:sed基本指令
- selenium 自动化测试
- 【canvas教程】实现画布拖动、定点缩放,支持手势与鼠标滚轮操作
- 13.2 GAS与属性
- 论文阅读笔记《Deep Learning of Graph Matching》
- C语言学习之路(基础篇)—— 数组和字符串 02
- 人工智能2021年10大应用
- JUC-原子操作类之18罗汉增强
- 浅析量化交易程序化的优势
- 1. 微服务之Eureka服务注册发现
- 自动化测试 | 测试老鸟总结,你们项目自动化测试实施成功与否的因素
- Java教程
- Java快速入门
- Java简介
- 安装JDK
- 第一个Java程序
- Java代码助手