从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Wazifa System IN PHP control.php has SQL injection vulnerability - 供应商:https://code-projects.org/wazifa-system-in-php-css-js-and-mysql-free-download/ - 漏洞文件:/controllers/control.php - 描述:存在一个不受限制的SQL注入攻击,可控参数为 。通过将具有无限SQL注入漏洞的函数传递给 ,恶意攻击者可以利用此漏洞获取敏感数据库信息。 2. 代码分析: - 控制器 中的 参数可以被控制并执行在不受限制的SQL语句中。 - 参数被获取并传递给 函数,该函数具有SQL注入漏洞。 3. POC(Proof of Concept): - 通过POST请求发送特定的参数到 ,并使用 工具进行测试。 - 通过执行 命令,可以获取数据库表的信息。 - 使用 命令,可以获取数据库表的详细信息。 4. 数据库表信息: - 通过 工具获取到的数据库表信息包括: 、 、 、 、 、 、 、 、 、 等。 这些信息可以帮助开发者了解漏洞的性质、影响范围以及如何利用漏洞进行攻击。