从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Events-Management-system has sql injection vulnerability via id parameter - 供应商:https://download.code-projects.org/details/25781c48-4c9f-495e-a56f-fd8b78652542 - 漏洞文件:dodelete.php 和 id 参数 - 描述:在 Events-Management-system 中存在不受限制的 SQL 注入攻击。可控参数:id。在 dodelete.php 中,没有对 id 参数进行限制,可以在 SQL 语句中添加 id 参数。可以获取数据库中的敏感信息。 2. 代码分析: - dodelete.php 中的 id 参数没有过滤和拼接在 SQL 语句中执行,当攻击者未登录时。 3. POC: - 请求: - id 参数:id=1 - 执行命令: - 获取数据库名**: 这些信息展示了如何利用 SQL 注入漏洞获取数据库中的敏感信息。