关键信息总结 漏洞标题 Title: SQL Injection Vulnerability in PHPGurukul Online Course Registration System ≤ 3.1 受影响版本 Affected Version: PHPGurukul Online Course Registration System ≤ 3.1 漏洞文件 Vulnerability Files: - admin/manage-students.php 漏洞描述 A critical SQL Injection vulnerability was discovered in PHPGurukul Online Course Registration System v3.1. The vulnerability exists in the admin/manage-students.php file, where the GET parameter is directly concatenated into SQL queries without any input validation, sanitization, or parameterized queries. 影响 Impact: - 删除数据库中的所有学生记录 - 同时重置所有学生的密码 - 提取敏感数据(用户名、密码、个人信息) - 修改或损坏数据库记录 - 特权提升的可能性 - 完全数据库泄露 证明概念(PoC) Proof of Concept: - 登录为管理员并导航到学生管理 - 利用 DELETE SQL 注入删除所有学生记录 - 利用 UPDATE SQL 注入重置所有学生的密码 - 使用 SqlMap 自动利用