🔔️我們已經出現了財務危機,請不要攔截廣告,感謝您的支持🙏🏻️

CVE-2021-27948 MyBB後台用戶管理用戶組SQL注入漏洞

From PwnWiki
Jump to navigation Jump to search
Other languages:
Chinese

影響版本

< 1.8.26

漏洞利用

先隨便創個用戶組,接著新建一個用戶,並設置他的用戶組;

在profile中選擇組;

點擊保存抓包分析;

修改addtionalgroups參數為sql注入payload:

1‘ and sleep(10) and '

選擇banning模塊,並選擇我們剛剛設置的用戶;

點擊“Ban user”,抓包分析;

可以看到成功延時。