从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Content Management System SQLi 2. 应用名称:Content Management System 3. 软件链接:下载链接 4. 供应商主页:供应商主页 5. 漏洞类型:时间盲注 SQL 注入 6. 漏洞作者:egsec 7. 漏洞描述:在登录部分的 index.php 文件中存在 SQL 注入漏洞,允许攻击者操纵 SQL 查询并执行未经授权的操作。 8. 易受攻击代码段: 在此行中, 变量直接嵌入到 SQL 查询中,未进行适当处理,允许攻击者注入恶意 SQL 代码。 9. PoC: - 位置:http://localhost/NEWS-BUZZ/index.php - 时间盲注 SQL 注入payload:' OR sleep(10)- PoC 视频:视频链接 - 请求: - 响应:响应将通过使用 函数来调用时间。 10. 影响:在时间盲注 SQL 注入攻击中,攻击者通过操纵 SQL 查询来测量响应时间并根据延迟推断信息。这种类型的攻击在应用程序不返回直接错误或输出时非常有用,可以用于评估查询行为。攻击者可以使用时间盲注 SQL 注入来提取数据库的内容。 11. 重现: - vuldb.com link 这些信息详细描述了漏洞的性质、影响和如何重现漏洞。