从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:E-Health Care System IN PHP registration.php has SQL injection vulnerability - 供应商:https://code-projects.org/e-health-care-system-in-php-css-js-and-mysql-free-download/ - 漏洞文件:registration.php - 描述:在注册页面(registration.php)中,存在未授权的SQL注入攻击。可控参数为$f_name,未对$f_name参数进行过滤和拼接,导致可以获取数据库中的敏感信息。 2. 代码分析: - 注册页面的$f_name参数未进行过滤和拼接,直接用于SQL语句的执行。 3. POC(Proof of Concept): - 请求示例: - 执行命令: - 获取当前用户:root@localhost 4. 漏洞利用: - 使用sqlmap工具通过注入点获取当前用户信息。 这些信息表明,该漏洞允许攻击者通过注入恶意SQL语句来获取数据库中的敏感信息,存在严重的安全风险。