CVE-2019-1010153
| ID: | 14703 |
|---|---|
| 标题: | CVE-2019-1010153 |
| 描述: | ZZCMS,由ZZCMS团队开发,融入数据库优化,内容缓存,AJAX等技术,使网站的安全性 、稳定性 、负载能力得到可靠保障。源码开放,功能模块独立,便于二次开发。 zzcms8.3中zs/zs.php存在sql注入 |
| 类型: | WEB |
| 网站: | 春秋云境 |
| 题目链接: | https://yunjing.ichunqiu.com/cvevip |
| 赛事: | 春秋云境 |
| 年度: | None |
| Flag值: | ZZCMS SQL注入漏洞(CVE-2019-1010153)的利用过程及答案 |
| writeup: |
https://github.com/superlink996/chunqiuyunjingbachang 该漏洞位于ZZCMS 8.3的zs/subzs.php文件,通过构造恶意Cookie参数(如askbigclassid=-1 union select database(),2,3,4,5,6,7,8,9,10,11)实现SQL注入,最终可获取数据库信息并提取flag 1 6。GitHub页面提供了完整的注入示例和靶场验证步骤,包括联合查询和绕过WAF的技巧 1 6。 |