Exploit Title: My Admin (Powered By Learning Impact) - SQL Injection Authentication Bypass

Date: 2025-11-26

在由"学习影响力"驱动的"My Admin"门户的登录机制中发现了一个严重的SQL注入漏洞。

该漏洞允许未经身份验证的攻击者通过操纵输入字段（用户名和/或密码）完全绕过登录页面。应用程序在将输入用于SQL查询之前未能正确地中和输入中的特殊元素，导致了可利用的条件。

攻击者可以在用户名字段中使用以下通用载荷来注入一个强制WHERE子句评估为真的条件，从而绕过所需的密码检查。

载荷： ' OR 1=1 LIMIT 1 -- -+

当服务器处理此输入时，生成的SQL查询会将攻击者认证为数据库中找到的第一个用户（通常是管理员或最高权限帐户），从而授予对管理面板的未授权访问权限。

开发人员必须实施预编译语句（参数化查询），以确保所有用户输入都被视为数据，而不是可执行代码。此外，强烈建议实施输入验证并为数据库连接采用最小权限原则，以防止此类攻击。