CVE-2018-18786
| ID: | 14724 |
|---|---|
| 标题: | CVE-2018-18786 |
| 描述: | 站长招商网内容管理系统简称 ZZCMS,由ZZCMS团队开发,融入数据库优化,内容缓存,AJAX等技术,使网站的安全性 、稳定性 、负载能力得到可靠保障。源码开放,功能模块独立,便于二次开发。 zzcms8.3中ajax/zs.php中,Cookie的pxzs参数存在SQL注入漏洞 |
| 类型: | WEB |
| 网站: | 春秋云境 |
| 题目链接: | https://yunjing.ichunqiu.com/cvevip |
| 赛事: | 春秋云境 |
| 年度: | None |
| Flag值: | 无 |
| writeup: |
https://zhuanlan.zhihu.com/p/646560582 CVE-2018-18786是zzcms 8.3中通过pxzs cookie参数实现的SQL注入漏洞 1。解题过程包括手动注入(如union select获取字段数、数据库名、表名及flag字段)和使用sqlmap自动化工具(携带cookie验证注入点、提取ctf数据库flag表数据) 1。该文章提供了完整漏洞利用链及验证步骤,链接内容可直接访问且包含详细复现过程。 |