从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:E-Health Care System IN PHP adminlogin.php has SQL injection vulnerability - 供应商:https://code-projects.org/e-health-care-system-in-php-css-js-and-mysql-free-download/ - 漏洞文件:/Admin/adminlogin.php - 描述:存在不受限制的SQL注入攻击。参数可以被控制:email。函数将email参数直接插入SQL语句中,没有限制。恶意攻击者可以利用此漏洞获取服务器数据库中的敏感信息,甚至获得服务器权限。 2. 代码分析: - 行57-60的代码片段显示了email参数直接插入SQL语句中,没有进行任何过滤或验证。 - 代码分析指出,通过email参数可以进行SQL注入攻击,并可以通过漏洞上传webshell文件。 3. POC(Proof of Concept): - 通过POST请求发送恶意参数,可以获取数据库名称。 - 示例请求: - 通过设置email参数为恶意值,可以获取数据库名称。 4. 发现者: - 西安电子科技大学 李腾,谢亚轩 这些信息表明,该漏洞允许攻击者通过SQL注入攻击获取服务器数据库中的敏感信息,并可能进一步利用漏洞上传webshell文件。