从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:SQL Injection vulnerability was discovered from SourceCodester Profile Registration without Reload/Refresh 1.0 (del.php) - CVE编号:CVE-2024-9093 - 描述:一个被标记为严重的漏洞在SourceCodester Profile Registration without Reload/Refresh 1.0中被发现。这个漏洞影响了del.php文件中的一个未知函数。通过操纵参数列表中的未知输入,可以导致SQL注入漏洞。CWE将此问题分类为CWE-89。 2. 受影响的项目: - 项目名称:Profile Registration without Reload/Refresh 1.0 3. 相关代码文件: - 文件名:del.php 4. 注入参数: - 参数名:list - 描述:GET参数'list'是易受攻击的。 5. 演示: - 注册页面:展示了注册页面的截图。 - 管理员页面:展示了管理员页面的截图,其中有一个删除功能。 - Burp Suite:展示了使用Burp Suite拦截和分析删除请求的过程。 6. 漏洞利用: - Burp Suite:展示了如何使用Burp Suite拦截和分析删除请求。 - sqlmap:展示了如何使用sqlmap工具检测和利用注入点。 7. payload: - 类型:boolean-based blind - 标题:MySQL AND boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE) - payload:list=1' AND EXTRACTVALUE(6463,CASE WHEN (6463=6463) THEN 6463 ELSE 0x3A END)-- jUPW 这些信息详细描述了漏洞的发现过程、受影响的项目和代码文件、注入参数、演示和利用方法,以及使用的工具和payload。