笔者《Qftm》原文发布:https://xz.aliyun.com/t/6223
0x00 前言
最近,一次授权的渗透测试项目意外的撞出了(CVE-2018-14418)新的火花,在这里分享给大家,同时简单记录一下自己的渗透测试过程,一些敏感信息已打码,相关漏洞已报送厂商修复。
0x01 Msvod Cms SQL注入漏洞原始
详解
| 漏洞ID | 1226187 | 漏洞类型 | SQL注入 |
|---|---|---|---|
| 发布时间 | 2018-07-20 | 更新时间 | 2018-07-23 |
| CVE编号 | CVE-2018-14418 | CNNVD-ID | CNNVD-201807-1724 |
| 漏洞平台 | PHP | CVSS评分 | N/A |
漏洞来源
- https://www.exploit-db.com/exploits/45062
- https://cxsecurity.com/issue/WLB-2018070221
- http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201807-1724
漏洞详情
Msvod Cms是一套用于视频点播网站的内容管理系统(CMS)。该系统主要提供视频点播和视频聚合建站等服务。 Msvod Cms 10版本中存在SQL注入漏洞。远程攻击者利用该漏洞执行任意的SQL命令。
漏洞EXP0.1
- # Exploit Title: MSVOD V10 ¡V SQL Injection
- # Google Dork: inurl:"images/lists?cid=13"
- # Date: 2018/07/17
- # Exploit Author: Hzllaga
- # Vendor Homepage: http://www.msvod.cc/
- # Version: MSVOD V10
- # CVE : CVE-2018-14418
- #Reference : https://www.wtfsec.org/2583
