关键信息 产品信息 系统名称: Student Information System 供应商: https://code-projects.org/student-information-system-in-php-with-source-code-2/ 漏洞信息 漏洞文件: register.php 描述: 在Student Information System的register.php文件中,username参数被直接拼接到SQL语句中,且未进行过滤,导致SQL注入漏洞和服务器权限问题。 代码分析 的第11-20行: POC (Proof of Concept) HTTP POST请求: 结果 SQLMap分析 - 参数: username (POST) - 类型: 错误注入、布尔盲注、时间盲注 - 测试发现MySQL版本 >= 5.0 - 可访问数据库列表包含 studentinfosystem 等数据库 总结 此截图揭示了Student Information System中的一个SQL注入漏洞,通过分析register.php文件和提供POC,可以验证漏洞的存在,利用SQLMap工具进一步确认了漏洞类型和可访问的数据库信息。