从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:SQL注入(SQLi)和命令执行(RCE)。 - 受影响版本:Organizr-v1.9。 - 漏洞路径: 。 2. 漏洞分析: - 代码片段: - 问题描述:代码中没有对来源和目标进行检查或过滤,导致SQL注入漏洞。 3. 权限描述: - 初始状态:Organizr-v1.9默认未启用Chat功能,导致 表不存在。 - 解决方法:管理员权限需要打开Chat功能,可以通过发送特定请求来实现。 4. PoC(Proof of Concept): - 请求数据: - 结果:使用此漏洞在服务器上写入了一个名为 的webshell,导致命令执行漏洞。 5. 手动验证: - 请求和响应: - 请求:发送特定的POST请求到 。 - 响应:服务器返回HTTP 200 OK,显示成功创建了webshell。 6. 修复建议: - 建议:使用 参数是被废弃的,不应再使用。 通过这些信息,我们可以了解漏洞的详细情况、影响范围以及如何利用漏洞进行攻击。