iCMSv7.0.15后台database.admincp文件仍存在SQL注入漏洞
闲着无聊,国庆时间没事做,又在Q群看到这种公告,只好下个icms慢慢玩。(PS:医院和学校居然都关网站了)
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。
无奈自己太菜,审不出问题。只好上网百度icms之前的漏洞。然后居然成功在iCMSv7.0.15复现一个之前版本的漏洞。
登入后台,选择数据库管理-数据库备份,随便选择一个表名或全选,
点击批量操作-备份表。捕获数据包
table%5B%5D处可以进行SQL注入
用sqlmap跑
参考链接:https://blog.csdn.net/yun2diao/article/details/91475625
更多精彩
