关键信息 漏洞概述 CVE编号: CVE-2024-32640 漏洞类型: 自动化SQL注入 (SQLi) 利用 受影响系统: Mura/Masa CMS 使用方法 检测: Ghauri Exploitation: - 传递任何希望在Ghauri中使用的参数,按照其参数列表: - 或直接使用当前数据库: 示例 MURAIDER工具: - 用于自动化检测和利用CVE-2024-32640中的SQL注入漏洞。 - 如果目标易受SQL注入攻击,可以使用Ghauri进行进一步的利用。 Ghauri SQLI Automation 过程: - 使用已实现的检测功能,将易受攻击的目标传递给Ghauri进行利用。 - 脚本自动处理此过程,将所有目标信息解析为对Ghauri的调用。 细节 验证方法: - 通过在contentthisid HTML查询参数值后附加转义序列( ),可以验证目标是否对此SQL注入漏洞敏感。 - 成功利用可能导致未经授权访问敏感数据。 URL示例: Dorks Shodan查询: Google搜索: FOFA查询: 参考资料 Twitter Seebug