从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞详情 CVE ID: CVE-2024-34327 漏洞标题: Time-Based Blind SQL Injection 产品: Sielox AnyWare 受影响版本: 2.1.2 易受攻击的端点: /auth/password-reset-token.php 注入向量: email 参数在 POST 数据中 利用方法: 使用 SQL SLEEP() 函数测量服务器响应延迟 功能特点 自动发送带有10秒SQL延迟的定制POST请求 测量服务器响应时间以推断漏洞存在 每次运行随机生成一个 PHPSESSID cookie 值 使用说明 先决条件 Python 3.x requests 库 (pip install requests) 命令 示例 输出 如果服务器响应延迟超过9秒 否则 工作原理 1. 发送带有以下payload的POST请求: 2. 如果响应时间超过9秒,工具报告服务器为易受攻击。 3. 为了测试方便,所有TLS验证警告被抑制。 脚本内部机制 使用Python的requests库 设置常见的HTTP头,包括真实的User-Agent和Referer 每次请求生成随机PHP会话ID